De Astaroth Trojan is een gevaarlijk wapen gebruikt tegen de computer gebruikers wereldwijd. Het infecteert voornamelijk plaats via geïnfecteerde software installateurs. Ons artikel geeft een overzicht van het gedrag volgens de verzamelde monsters en beschikbare rapporten, ook kan het nuttig zijn bij het proberen te verwijderen van het virus.
De Astaroth Trojan wordt verspreid in een lopende campagne, de rapporten geven aan dat de meerderheid van de getroffen slachtoffers uit Brazilië en Europa. Dit is een zeer gevaarlijke bedreiging omdat het gebruik maakt van de wijze van exploitatie van kwetsbaarheden in de machines, in het bijzonder een zwakte in een populaire anti-virus product (Avast!). Het mechanisme is ongebruikelijk — de hackers misbruik maken van de legitieme Windows Service genaamd BITSAdmin die wordt gebruikt voor het downloaden, uploaden en beheren van de opdrachten, een onderdeel van de “Background Intelligent Transfer Service” – functie beschikbaar voor Windows ontwikkelaars. In plaats van programmeren voor de gebruikelijke taken is geprogrammeerd om te downloaden malware-bedreigingen, in dit geval de Astaroth Trojan.
E-mail Phishing-berichten die worden verzonden in een SPAM-achtige wijze zijn verzonden naar de doelstellingen uit naam van Microsoft of andere vertrouwde leveranciers. Ze archief bijlagen in .7zip-formaat. Wanneer geopend aan de binnenkant is er een .lnk-bestand dat wanneer het wordt uitgevoerd, zal uitmonden in het desbetreffende wmic.exe proces. Dit zal leiden tot een aanval dat bekend staat als een “XSL-Script Verwerking Aanval”.
In de praktijk zijn de hackers misbruik van een vertrouwde binair bestand dat het script uitvoert, waardoor de gijzeling van de Avast anti-virus proces. Volgens de security rapporteert dit is niet een injectie of een escalatie van bevoegdheden. In plaats van de avast programma ‘ s zijn geprogrammeerd voor het uitvoeren van de malware-bestanden. De avast motor zelf bevat een self-mechanisme voor bescherming die niet toestaan dat een misbruik van de applicatie zelf. De verkoper is momenteel het patchen van de software.
De identiteit van de criminelen is niet bekend op het moment dat een onderzoek is gaande naar de mogelijke oorsprong van de dreiging. We verwachten dat deze payload-gebaseerde infectie gebruikt kan worden met andere soortgelijke methoden:
- Geïnfecteerde Documenten — De criminelen het virus installatie script in documenten over alle populaire varianten: tekstdocumenten, spreadsheets, databases en presentaties. Wanneer ze worden geopend in een macro ‘ s uitvoeren verschijnt de vraag van het slachtoffer gebruikers om de scripts, is de opgegeven reden is dat dit nodig is voor het correct weergeven van de bestanden.
- Besmet programma Installateurs — De criminelen kunnen de installateurs van populaire applicaties en te wijzigen, om de Astaroth Trojan. Dit wordt gedaan door het verwerven van de legitieme setup-bestanden uit de officiële bronnen en het plaatsen van de juiste virus installatie code. Meestal toepassingen die vaak worden gedownload door de gebruikers: hulpprogramma ‘ s, creativiteit suites, productiviteit apps en enz.
- File-Sharing Netwerken — De bestanden kunnen worden verspreid via peer-to-peer netwerken zoals BitTorrent die populair zijn voor de distributie van zowel legitieme en illegale inhoud.
Zodra de Astaroth Trojan infectie leidde tot een aantal gevaarlijke acties zullen optreden. De relevante BITSAdmin utility zal worden geprogrammeerd voor het downloaden van een kwaadaardig lading van een vooraf gedefinieerde hacker-gestuurde server. De code-analyse blijkt dat de malware is obfuscated als image bestanden of gegevens, zonder een specifieke extensie. Dit is gedaan om te onttrekken aan de reguliere anti-virus scant.
We verwachten dat toekomstige versies kan een standalone het omzeilen van de beveiliging die kunt vinden voor security-software die mogelijk kunnen blokkeren het virus uitvoering: anti-virus producten, firewalls, indringings detectie systemen en virtuele machine hosts.
Een gevaarlijk onderdeel dat deel uitmaakt van de Trojan de code base, is het verzamelen van informatie module:
- Persoonlijke Informatie — De Trojan motor is in staat van het verwerven van gegevens die kunnen worden gebruikt voor het rechtstreeks belichten van de identiteit van de slachtoffers door te zoeken naar tekenreeksen zoals iemands echte naam, bijnaam, belangen, telefoon nummer, adres en eventueel opgeslagen referenties. De verzamelde informatie kan gebruikt worden voor verschillende misdrijven, waaronder financieel misbruik, diefstal en chantage.
- Machine-Informatie — De Trojan motor kan maken van een identificatiecode die is toegewezen aan elk van de gecompromitteerde machine. Het is gedaan met behulp van een algoirthm die de input parameters van waarden, zoals de geïnstalleerde hardware onderdelen lijst gebruikersinstellingen en bepaalde omgeving van het besturingssysteem waarden.
De verzamelde informatie zal dan verzonden worden naar de criminele controllers via een netwerk verbinding met hun C&C-servers. Dit stelt hen in staat om de controle van het slachtoffer machines, bestanden tegen diefstal en bespioneren van de gebruikers. Wat nog gevaarlijker is, is dat de Trojan kan worden geprogrammeerd om te reageren op de Windows Volume Manager, waardoor het de mogelijkheid om toegang te krijgen tot verwisselbare opslag apparaten en netwerk shares.
Andere schadelijke acties die je kunt volgen zijn de volgende:
- Permanente Installatie — De Astaroth Trojan code zal worden gelanceerd elke keer als de computer is ingeschakeld. Deze stap is in de meeste gevallen zal ook de toegang tot de boot menu opties waardoor het merendeel van de handleiding gebruiker verwijderen gidsen nutteloos.
- Windows Wijzigingen in het Register — Wijziging van de Windows Register waarden is een gemeenschappelijke actie die wordt ondernomen door veel malware van deze categorie. Wijzigingen naar tekenreeksen die worden gebruikt door het besturingssysteem kan leiden tot een algehele afname van de prestaties en stabiliteit. Eventuele toepassingen van derden of diensten van waarden zijn veranderd, dan is de begeleidende programma ‘ s onverwacht met fouten.
- Extra Laadvermogen Levering — De Trojan-client kan worden geprogrammeerd om te downloaden andere bedreigingen voor de geïnfecteerde computers.
- Gegevens Verwijderen — Belangrijke bestanden worden automatisch gewist zodra de Astaroth Trojan infectie wordt geactiveerd. Gemeenschappelijke gegevens die moeten worden verwijderd, bevat systeemherstel Punten, Volume Shadow Kopieën en back-Ups. Effectief herstellen van de besmette computers wordt gedaan met behulp van een combinatie van een effectieve anti-spyware programma en een data recovery programma.
Afhankelijk van de komende versies en toekomstige aanval campagne kunnen we zien dat een radicaal andere Astaroth Trojan release in de nabije toekomst.
Als uw computer werd geïnfecteerd met het Astaroth Trojan, je moet een beetje ervaring in het verwijderen van malware. U moet zich te ontdoen van deze Trojan zo snel mogelijk, voordat deze de kans om verder verspreid en infecteren van andere computers. U moet verwijderen van de Trojan en volg de stap-voor-stap instructies gids hieronder.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in Astaroth Trojan gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
Astaroth Trojan gedrag
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Astaroth Trojan verbindt met het internet zonder uw toestemming
- Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
- Zichzelf installeert zonder machtigingen
- Integreert in de webbrowser via de Astaroth Trojan Grazen verlenging
- Vertraagt internet-verbinding
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Gemeenschappelijke Astaroth Trojan gedrag en sommige andere tekst emplaining som info in verband met gedrag
- Astaroth Trojan deactiveert geïnstalleerde beveiligingssoftware.
- Astaroth Trojan shows commerciële advertenties
- Steelt of gebruikt uw vertrouwelijke gegevens
Astaroth Trojan verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Astaroth Trojan Geografie
Astaroth Trojan elimineren van Windows
Astaroth Trojan uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen Astaroth Trojan uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen Astaroth Trojan van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
Astaroth Trojan verwijderen uit uw Browsers
Astaroth Trojan Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen Astaroth Trojan van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen Astaroth Trojan van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).