Den Astaroth Trojan er et farlig våpen som brukes mot pc-brukere over hele verden. Det smitter hovedsakelig via infisert programvare installatører. Artikkelen gir en oversikt over sin oppførsel i henhold til de innsamlede prøvene og tilgjengelige rapporter, også det kan være nyttig å forsøke å fjerne viruset.
Den Astaroth Trojan blir spredt i en pågående kampanje, rapporter tyder på at flertallet av berørte ofrene er fra Brasil og Europa. Dette er en veldig farlig trussel som den bruker metoden for å utnytte sårbarheter i maskiner, spesielt en svakhet i en populær anti-virus produkt (Avast!). Mekanismen er uvanlig ※ hackere misbruk legitime Windows Tjeneste kalt BITSAdmin som brukes til å laste ned, laste opp og administrere jobber, en del av «Background Intelligent Transfer Service» – funksjonen er tilgjengelig for Windows utviklere. I stedet for å programmere den for vanlige oppgaver den er programmert til å laste ned malware trusler, i dette tilfellet Astaroth Trojan.
E-Phishing-meldinger som er sendt i en SPAM-aktig måte er sendt til mål ved å utgi seg for å være fra Microsoft eller andre pålitelige leverandører. De har arkiv som vedlegg i den .7zip format. Når åpnet inne vil det være en .lnk-fil som når det er utført vil gyte relevant wmic.exe prosessen. Dette vil føre til et angrep som er kjent som en «XSL-Script Behandling Angrep».
I praksis hackere misbruk en klarert binære som vil kjøre skriptet, og dermed kapre Avast anti-virus prosessen. I henhold til sikkerhet rapporter dette er ikke en injeksjon eller en opptrapping av privilegier. I stedet avast binærfiler er programmert til å kjøre malware filer. Avast motoren i seg selv inneholder en selv-beskyttelse mekanisme som ikke tillater misbruk av selve programmet. Leverandøren er i dag lapp programvaren.
Identiteten til de kriminelle er ikke kjent i øyeblikket, en etterforskning pågår i den mulige opprinnelsen av trusselen. Vi forventer at dette nyttelast-basert infeksjon mekanismen kan brukes med andre lignende metoder:
- Infisert Dokumenter ※ De kriminelle viruset installasjonsskriptet i dokumenter på tvers av alle populære varianter: tekstdokumenter, regneark, databaser og presentasjoner. Når de er åpnet en makroer kjøres ledetekst vil vises som ber offeret brukere for å aktivere skript, sitert grunnen er at dette er nødvendig for riktig å vise filer.
- Infisert Installasjonsprogrammer ※ De kriminelle kan ta installatører av populære programmer og endre dem til å omfatte Astaroth Trojan. Dette er gjort ved å anskaffe den legitime setup filer fra sine offisielle kilder og sette inn den aktuelle virus installasjon kode. Vanligvis programmer som lastes ned av sluttbrukere: system utilities, kreativitet suites, produktivitet apps og etc.
- Fil-Deling Nettverk ※ filer som kan spres via node-til-node-nettverk som BitTorrent, som er populær for distribusjon både legitime og pirat innhold.
Så snart Astaroth Trojan infeksjon er utløst en rekke farlige handlinger vil skje. Relevante BITSAdmin verktøyet vil være programmert til å laste ned en ondsinnet nyttelast fra en forhåndsdefinert hacker-kontrollerte server. Koden analyse avslører at malware er forvirrende som bilde filer eller data uten en bestemt filtype. Dette er gjort for å unngå vanlige anti-virus skanner.
Vi forventer at fremtidige versjoner kan inkludere en frittstående sikkerhetsomgåelse som kan finne sikkerhetsprogramvare som potensielt kan blokkere virus gjennomføring: anti-virus produkter, brannmur, intrusion detection systems og virtuelle maskinen, allhers gud.
En farlig komponent som er en del av den Trojanske kode base er å samle inn informasjon modulen:
- Personlig Informasjon ※ Den Trojanske motoren er i stand til å skaffe data som kan brukes til direkte å avsløre identiteten til ofrene ved å se etter strenger som en persons virkelige navn, kallenavn, interesser, telefonnummer, adresse og noen som er lagret kontoen. Den innsamlede informasjonen kan brukes for ulike forbrytelser, inkludert økonomisk misbruk, identitet tyveri og utpressing.
- Maskinen Informasjon ※ Den Trojanske motoren kan opprette en identifikator som er tilordnet til hver kompromitterte maskinen. Det er gjort ved hjelp av en algoirthm som tar sin parametere fra verdier som er installert maskinvare deleliste, brukerinnstillinger og visse operativsystemet verdier.
Den innsamlede informasjonen vil så bli sendt til den kriminelle kontrollere via en nettverkstilkobling til deres C&C-servere. Dette tillater dem å ta over kontrollen av offeret maskiner, filer tyveri og for å spionere på brukerne. Hva er mer farlig er at Trojaneren kan være programmert til å samhandle med Windows Volum Manager, og dermed gir det muligheten til å få tilgang til flyttbare lagringsmedier enheter og nettverk aksjer.
Andre ondsinnede handlinger som kan følge inkluderer følgende:
- Vedvarende Installasjon ※ Astaroth Trojan-kode vil bli lansert hver gang maskinen blir slått på. Dette trinnet i de fleste tilfeller vil også deaktivere tilgang til boot-menyen alternativer og dermed gjør de fleste av bruker manuell fjerning guider ubrukelig.
- Windows registerendringer ※ Modifikasjon til Windows Register verdier er en vanlig handling foretatt av mange malware i denne kategorien. Endringer i strenger, som er brukt av operativsystemet kan føre til at samlet ytelse og stabilitet problemer. Hvis noen tredje-parts programmer eller tjenester verdier er endret så den medfølgende programmer avsluttes uventet feil.
- Ekstra Nyttelast Levering ※ Den Trojanske klienten kan være programmert til å laste ned andre trusler til infiserte datamaskiner.
- Fjerning av Data ※ Viktige filer kan slettes automatisk så snart Astaroth Trojan infeksjon er utløst. Felles data som er å bli fjernet inkluderer gjenopprettingspunkter, Skygge Volum Kopier og Backup. Effektiv gjenoppretting av kompromitterte datamaskiner er gjort ved hjelp av en kombinasjon av en effektiv anti-spyware-verktøyet, og en data-recovery-programmet.
Avhengig av den kommende versjoner og fremtidige angrep kampanjen vi kan se en radikalt annerledes Astaroth Trojan utgivelse i nær fremtid.
Hvis datamaskinen ble smittet med Astaroth Trojan, du bør ha litt erfaring i å fjerne malware. Du bør kvitte seg med denne Trojaneren så raskt som mulig før det kan få sjansen til å spre videre og infisere andre datamaskiner. Du bør fjerne Trojan og følg steg-for-trinn-instruksjoner som er gitt nedenfor.
Advarsel, har flere anti-virusprogrammer oppdaget mulige malware i Astaroth Trojan.
| Antivirusprogramvare | Versjon | Gjenkjenning |
|---|---|---|
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
Astaroth Trojan atferd
- Astaroth Trojan viser kommersielle annonser
- Distribuerer seg selv via betal-per-installere eller er samlet med tredjepartsprogramvare.
- Integreres nettleseren via nettleserutvidelse Astaroth Trojan
- Astaroth Trojan kobles til Internett uten din tillatelse
- Endrer brukerens hjemmeside
Astaroth Trojan berørt Windows OS-versjoner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Astaroth Trojan geografi
Eliminere Astaroth Trojan fra Windows
Slett Astaroth Trojan fra Windows XP:
- Klikk på Start for å åpne menyen.
- Velg Kontrollpanel og gå til sammenlegge eller fjerne planer.
- Velge og fjerne det uønskede programmet.
Fjern Astaroth Trojan fra din Windows 7 og Vista:
- Åpne Start -menyen og velg Kontrollpanel.
- Flytte til Avinstaller et program
- Høyreklikk uønskede programmet og velg Avinstaller.
Slett Astaroth Trojan fra Windows 8 og 8.1:
- Høyreklikk på nederst til venstre og velg Kontrollpanel.
- Velg Avinstaller et program og Høyreklikk på uønskede app.
- Klikk Avinstaller .
Slett Astaroth Trojan fra din nettlesere
Astaroth Trojan Fjerning av Internet Explorer
- Klikk på Gear-ikonet og velg Alternativer for Internett.
- Gå til kategorien Avansert og klikk Tilbakestill.
- Når du sletter personlige innstillinger , og klikk Tilbakestill igjen.
- Klikk Lukk og velg OK.
- Gå tilbake til girikonet, velge Administrer tillegg → verktøylinjer og utvidelser, og slette uønskede utvidelser.
- Gå til Søkeleverandører og velg en ny standard søkemotor
Slette Astaroth Trojan fra Mozilla Firefox
- Angi "about:addons" i URL -feltet.
- Gå til utvidelser og slette mistenkelige leserutvidelser
- Klikk på menyen, klikker du spørsmålstegnet og åpne Firefox hjelp. Klikk på Oppdater Firefox-knappen og velg Oppdater Firefox å bekrefte.
Avslutte Astaroth Trojan fra Chrome
- Skriv inn "chrome://extensions" i URL -feltet og trykk Enter.
- Avslutte upålitelige kikker extensions
- Starte Google Chrome.
- Åpne Chrome-menyen, klikk Innstillinger → Vis avanserte innstillinger, Velg Tilbakestill leserinnstillinger og klikk Tilbakestill (valgfritt).