Den Astaroth Trojan er et farligt våben, der anvendes mod computer-brugere over hele verden. Det smitter primært via inficeret software installatører. Vores artikel giver et overblik over sin adfærd i henhold til de indsamlede prøver og tilgængelige rapporter, også kan det være nyttigt at forsøge at fjerne virus.
Den Astaroth Trojan er ved at blive spredt i en igangværende kampagne, rapporter viser, at de fleste af de berørte ofre er fra Brasilien og Europa. Dette er en meget farlig trussel, som det anvender den metode, som udnytter sårbarhederne i de maskiner, specielt en svaghed i et populært anti-virus produkt (Avast!). Den mekanisme, der er usædvanligt — hackere misbruger legitime Windows Tjeneste kaldet BITSAdmin , som bruges til at downloade, uploade og administrere job, en del af “Background Intelligent Transfer Service” – funktion til rådighed for Windows udviklere. I stedet for at programmere den til de sædvanlige opgaver, som det er programmeret til at downloade malware-trusler, i dette tilfælde Astaroth Trojan.
Phishing-e-mail-beskeder, der er sendt i en SPAM-lignende måde er sendt til de mål, som udgiver sig for at være Microsoft eller andre betroede leverandører. De har arkivet vedhæftede filer i det .7z format. Når den åbnes, inden der vil være en .lnk-filer, som når den udføres, vil gyde relevante wmic.exe -processen. Dette vil føre til et angreb, der er kendt som en “XSL Script Behandling Angreb”.
I praksis hackere misbruger tillid til binær fil, som vil køre scriptet, således at kapre Avast anti-virus proces. I henhold til sikkerhed rapporter dette er ikke en indsprøjtning eller en rettighedsforøgelse. I stedet avast binære filer er programmeret til at køre malware filer. Avast motor i sig selv indeholder en selvforsvar mekanisme, der tillader ikke nogen form for misbrug af selve ansøgningen. Sælger er i øjeblikket patching af software.
Identiteten af de kriminelle er ikke kendt på nuværende tidspunkt, en undersøgelse er i gang i den mulige oprindelse af truslen. Vi forventer, at denne nyttelast-baserede infektion mekanisme, der kan bruges sammen med andre lignende metoder:
- Inficerede Dokumenter — De kriminelle virus installations-script i dokumenter på tværs af alle populære varianter: tekst-dokumenter, regneark, databaser og præsentationer. Når de er åbnet en makroer udførelse prompt vises beder offeret brugerne til at aktivere scripts, den angivne årsag er, at dette er påkrævet af hensyn til en korrekt visning af de filer.
- Inficeret Program Installatører — De kriminelle kan tage installatører af populære programmer og ændre dem til at omfatte Astaroth Trojan. Dette er gjort ved at erhverve lovlig installation af filer fra deres officielle kilder og indsætte de relevante virus installation kode. Normalt applikationer, der ofte hentes ved udgangen brugere: system utilities, kreativitet suites, produktivitet apps og osv.
- Fil-Deling af Netværk — filer, der kan spredes via peer-to-peer netværk som BitTorrent, som er populære til distribution af både legitime og pirat-indhold.
Så snart Astaroth Trojan infektion er udløst af en række farlige handlinger vil forekomme. De relevante BITSAdmin nytte vil være programmeret til at hente en ondsindet payload fra en foruddefineret hacker-kontrolleret server. Koden analyse viser, at malware er uklar som image-filer eller data uden et bestemt lokalnummer. Dette er gjort med henblik på at unddrage sig den almindelige anti-virus scanner.
Vi forventer, at fremtidige versioner kan omfatte en standalone sikkerhed bypass , som kan finde sikkerhed software, der potentielt kan blokere virus-udførelse: anti-virus produkter, firewalls, intrusion detection systemer og virtuelle maskine værter.
Et farligt element, der er en del af den Trojanske kode base, er indsamling af oplysninger modul:
- Personlige Oplysninger — Den Trojanske motoren ikke er i stand til at erhverve data, der kan bruges til direkte at afsløre identiteten af ofrene ved at se for strenge som for eksempel en persons rigtige navn, kaldenavn, interesser, telefonnummer, adresse og eventuelle gemte kontooplysninger. Den indsamlede information kan anvendes til forskellige forbrydelser, herunder finansielle misbrug, identitet tyveri og afpresning.
- Maskine Oplysninger — Den Trojanske motor kan oprette en identifikator, der er tildelt til hver kompromitterede maskine. Det sker ved hjælp af en algoirthm, der tager sit input parametre fra værdier som de installerede hardware dele listen, brugerindstillinger og visse operativsystemet environment-værdier.
De indsamlede oplysninger vil derefter blive sendt til den kriminelle controllere via en netværksforbindelse til deres C&C servere. Dette giver dem mulighed for at tage kontrol over offeret maskiner, filer, tyveri og til at spionere på brugerne. Hvad mere er farlig, er, at de Trojanske heste kan være programmeret til at interagere med Windows Volume Manager, og dermed giver det mulighed for at få adgang til flytbare lagerenheder og netværksshares.
Andre skadelige handlinger, der kan følge omfatte følgende:
- Vedvarende Installation — Astaroth Trojan kode vil blive lanceret hver gang computeren er tændt. Dette skridt i de fleste tilfælde også vil deaktivere adgang til menuen boot indstillinger, hvilket gør de fleste af den manuelle fjernelse guider brugeren ubrugelig.
- Windows Ændringer i Registreringsdatabasen — Ændring til Windows værdier i Registreringsdatabasen er en fælles indsats med mange malware i denne kategori. Ændringer til strenge, der bruges af operativsystemet kan forårsage en samlet forringelse af ydeevnen og stabiliteten. Hvis nogen tredjeparts applikationer eller tjenester værdier er ændret, så den medfølgende programmer kan afsluttes uventet med fejl.
- Yderligere Nyttelast Levering — Den Trojanske kunden kan programmeres til at hente andre trusler mod de inficerede computere.
- Data Fjernelse — Vigtige filer kan blive slettet automatisk, så snart Astaroth Trojan infektion er udløst. Fælles data, der er at blive fjernet inkluderer System Restore Points, Skygge Mængde Eksemplarer, og Sikkerhedskopier. Effektiv gendanne de inficerede computere er gjort ved hjælp af en kombination af en effektiv anti-spyware værktøj og en data recovery program.
Afhængigt af den kommende versioner og fremtidige angreb kampagne, som vi kan se på en radikalt anderledes Astaroth Trojan udgivelse i den nærmeste fremtid.
Hvis din computer fik inficeret med Astaroth Trojan, bør du have en smule erfaring i fjernelse af malware. Du skal slippe af med denne Trojanske så hurtigt som muligt, før det kan have mulighed for at sprede sig yderligere, og at inficere andre computere. Du bør fjerne den Trojanske hest og følge trin-for-trin instruktioner guide nedenfor.
Advarsel, har flere anti-virus scannere fundet mulige malware i Astaroth Trojan.
| Anti-virus Software | Version | Afsløring |
|---|---|---|
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
Astaroth Trojan adfærd
- Ændrer skrivebordet og Browser-indstillingerne.
- Astaroth Trojan deaktiveres installeret sikkerhedssoftware.
- Stjæler eller bruger dine fortrolige Data
- Ændrer brugerens hjemmeside
- Integrerer i webbrowser via browserudvidelse Astaroth Trojan
- Fordeler sig gennem pay-per-install eller er bundlet med software fra tredjepart.
Astaroth Trojan foretages Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Astaroth Trojan geografi
Fjerne Astaroth Trojan fra Windows
Slette Astaroth Trojan fra Windows XP:
- Klik på Start til at åbne menuen.
- Vælg Control Panel og gå til Tilføj eller fjern programmer.
- Vælg og fjerne det uønskede program.
Fjern Astaroth Trojan fra din Windows 7 og Vista:
- Åbn menuen Start og vælg Control Panel.
- Flytte til Fjern et program
- Højreklik på den uønskede app og vælge afinstallere.
Slette Astaroth Trojan fra Windows 8 og 8.1:
- Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.
- Vælg Fjern et program og Højreklik på den uønskede app.
- Klik på Afinstaller .
Slette Astaroth Trojan fra din browsere
Astaroth Trojan Fjernelse fra Internet Explorer
- Klik på tandhjulsikonet , og vælg Internetindstillinger.
- Gå til fanen Avanceret , og klik på Nulstil.
- Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
- Klik på Luk og vælge OK.
- Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammer → værktøjslinjer og udvidelser, og Slet uønskede udvidelser.
- Gå til Søgemaskiner og vælge en ny standard søgemaskine
Slette Astaroth Trojan fra Mozilla Firefox
- Indtast "about:addons" i URL- feltet.
- Gå til udvidelser og fjerne mistænkelige browserudvidelser
- Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.
Opsige Astaroth Trojan fra Chrome
- Skrive "chrome://extensions" i URL- feltet og tryk på Enter.
- Opsige upålidelige browser extensions
- Genstart Google Chrome.
- Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).