Scranos é o nome de um novo spyware habilitado para rootkit que apesar de sua sofisticação atual parece ser “trabalho em progresso”. Bitdefender pesquisadores recentemente descobriram que os operadores de Scranos são continuamente testar novos componentes em usuários já infectados e fazer regularmente pequena melhoria para componentes antigos.
Resumo ameaça
Nome | Scranos |
Tipo | spyware, rootkit, adware |
Pequena descrição | Scranos é um spyware sofisticado equipado com um driver rootkit que pode realizar uma série de atividades maliciosas. Ver artigo para obter detalhes. |
Os sintomas | Dependendo das instruções recebidas, o malware pode roubar credenciais de login para diversos serviços, histórias extrato de navegação, injetar JavaScript, etc. Ele também pode cair outros payloads maliciosos. |
distribuição Método | Trojanized Apps, Cracked Software |
Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
Experiência de usuário | Participe do nosso Fórum para discutir Scranos. |
Ferramenta de recuperação de dados | Windows Data Recovery por Stellar JoeGo Aviso prévio! Este produto verifica seus setores de unidade para recuperar arquivos perdidos e não pode recuperar 100% dos arquivos criptografados, mas apenas alguns deles, dependendo da situação e se você tem ou não reformatado a unidade. |
Scranos Spyware em Detalhe
De acordo com o último relatório, o spyware contém vários componentes que podem servir a propósitos diferentes e podem ser implantados em vários cenários.
Alguns dos componentes mais cruciais que vêm com Scranos tem as seguintes capacidades:
– biscoitos extrair e roubar credenciais de login a partir de browsers populares, incluindo Google Chrome, crômio, Mozilla – Raposa de fogo, Ópera, Microsoft borda, Internet Explorer, Baidu navegador e Yandex Navegador.
– Roubar de pagamento dos usuários de contas do Facebook, webpages Amazônia e Airbnb.
– Envie solicitações de amigo para outras contas, da conta de Facebook do usuário.
– Enviar mensagens de phishing aos amigos do Facebook do usuário infectado que contêm APKs maliciosos usados para infectar os usuários do Android, bem.
– Roubar credenciais de login para a conta do usuário no Steam.
– Inject JavaScript adware no Internet Explorer.
– Instalar extensões Chrome / Opera, que servem para injetar JavaScript adware nestes navegadores.
– histórico de navegação Exfiltrate.
– exibir anúncios em silêncio ou em vídeos do YouTube silenciado para usuários via Chrome. Os pesquisadores descobriram alguns conta-gotas que podem instalar Chrome se ele não estiver no computador da vítima.
– Assinar usuários aos canais de vídeo do YouTube.
– Faça o download e executar qualquer carga útil.
Como é Scranos Spyware Espalhe?
não é de surpreender, o malware é espalhado através de aplicações Trojanized na forma rachado software, ou software colocando como útil como leitores de e-book, players de vídeo, drivers ou até mesmo produtos anti-malware, os pesquisadores disseram.
Após a execução, Scranos também instala um driver rootkit para esconder o malware e torná-lo persistente no sistema. A próxima etapa da cadeia de infecção é “telefonar para casa” e os comandos que recebem sobre o que outros componentes para baixar e instalar. O relatório diz que Scranos está infectando usuários em escala global, com a Índia, Romênia, França, Itália e Indonésia ter infecções prevalentes.
Vale ressaltar que todas as amostras Scranos identificados confirmar que esta operação está em uma fase de consolidação:
as amostras mais antigas identificadas remontam a novembro 2018, com um aumento maciço em dezembro e janeiro. Contudo, em março 2019, os servidores de comando e controle começou a empurrar outros tipos de malware - um indicador claro de que a rede agora está afiliado com terceiros em pay-per instalar esquemas.
O malware também é capaz de interagir com sites específicos em nome da vítima. Mais especificamente, o malware está promovendo agressivamente quatro vídeos do YouTube em diferentes canais.
Como para o motorista rootkit, ele utiliza um mecanismo de persistência eficaz de reescrever-se no desligamento, mas não se esconder. O rootkit injeta um downloader em um processo legítimo, que então transfere uma ou mais cargas.
Note que o rootkit não está protegido contra a exclusão, se detectada. Além do próprio motorista, há outros componentes podem ser encontrados no disco, como eles são excluídos após a execução. Contudo, eles podem ser baixados novamente, se necessário, observa o relatório.
Longa história curta, usuários deve ser extremamente cuidadoso com o seu comportamento on-line. Este malware é mais um lembrete de como sofisticados ataques estão se tornando. Por exemplo, uma das cargas da campanha Scranos está manipulando outras páginas em vez de YouTube, interagindo com anúncios exibidos dentro destas páginas:
Como remover Scranos Spyware
Escusado será dizer, rootkits e spywares são bastante astúcia e, portanto,, um desafio para remover. Existem etapas no entanto, que pode livrar seu sistema do malware e seu componente rootkit:
1. Feche seu navegador(s).
2. Matar todos processos correntes de caminho temporário. Remover arquivos que são detectados como maliciosos.
3. processo rundll32.exe Mate.
4. Gerar o nome do arquivo rootkit como segue:
– Obter SID do usuário atual.
– Compute MD5 da corda resultou de uma).
– Obter o primeiro 12 caracteres de b).
5. Executar um cmd ou janela PowerShell com direitos de administrador e tipo: > sc stop sc .sys apagar e excluir o arquivo.
7. Remova o controlador DNS (abaixo, MOIYZBWQSO deve ser substituída com seu nome motorista particular):
– Verifique se o controlador DNS é instalado: em% TEMP% deve ser um arquivo com 10 aleatório letras maiúsculas (ex: MOIYZBWQSO. sys). No Registro também deve haver uma chave correspondente ao nome (ex: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services MOIYZBWQSO)
– Executar um cmd ou janela PowerShell com direitos de administrador e tipo:
– parada sc MOIYZBWQSO
– sc delete MOIYZBWQSO –
– Exclua o arquivo% TEMP% MOIYZBWQSO.sys 8) Reb oot seu PC para remover o código injetado a partir do processo svchost.exe. 9. Remova qualquer extensão suspeito de seus navegadores.
10. Alterar todas as suas senhas.