Den Astaroth Trojan är ett farligt vapen som används mot datoranvändare i hela världen. Det smittar främst via infekterade program installatörer. Vår artikel ger en översikt av sitt beteende enligt de insamlade prover och tillgängliga rapporter, även om det kan vara till hjälp i ett försök att ta bort viruset.
Den Astaroth Trojan sprids i en pågående kampanj, rapporter pekar på att de flesta offer är från Brasilien och Europa. Detta är ett mycket farligt hot som den använder metoden för att utnyttja sårbarheter i maskiner, särskilt en svaghet i ett populärt antivirusprogram (Avast!). Mekanismen är ovanligt — hackare missbruk legitima Windows Tjänst som kallas BITSAdmin som används för att ladda ner, ladda upp och hantera jobb, en del av ”Background Intelligent Transfer Service” – funktion som är tillgänglig för Windows utvecklare. I stället för programmering det för det vanliga uppgifter det är programmerad att hämta skadlig programvara hot, i detta fall Astaroth Trojan.
Phishing e-post-meddelanden som sänds i ett SPAM-liknande sätt som skickas till mål genom att härma Microsoft eller andra betrodda leverantörer. De har arkiv bilagor i .7zip format. När öppnas inne kommer det att finnas en .lnk-fil som när den körs kommer att leka relevanta wmic.exe -processen. Detta kommer att leda till en attack som är känd som en ”XSL-Script Bearbetning Attack”.
I praktiken hackare missbruk en betrodd binär som kommer att köra skriptet, vilket kapning Avast anti-virus processen. Enligt security rapporterar detta inte är en injektion eller en utökning av privilegier. Istället avast-binärer är programmerade att köra skadliga filer. Avast motor i sig innehåller ett självförsvar mekanism som inte tillåter att något missbruk av själva ansökan. Säljaren är för närvarande lapp programvaran.
Identiteten av brottslingar är för närvarande inte känt, en utredning pågår om det är möjligt ursprung för hotet. Vi räknar med att denna nyttolast-baserade infektion mekanism kan användas tillsammans med andra liknande metoder:
- Infekterade Dokument — Den kriminella viruset installationsskriptet i dokument över alla populära varianter: textdokument, kalkylblad, databaser och presentationer. När de öppnas ett makro utförande meddelande kommer att visas som ber offret för användare att aktivera skript, noterade anledningen är att detta krävs för att korrekt visa filer.
- Infekterade Ansökan Installatörer — brottslingar kan ta installatörer av populära program och modifiera dem så att de inkluderar Astaroth Trojan. Detta görs genom att förvärva den legitima installationsfilerna från deras officiella källor och sätta in lämpliga virus installation koden. Vanligtvis program som ofta hämtas av slutanvändare: systemverktyg, kreativitet sviter, produktivitet apps och etc.
- Fildelning-Nät — De filer som kan spridas via peer-to-peer-nätverk, som BitTorrent som är populära för att distribuera både legitimt och pirate innehåll.
Så snart Astaroth Trojan infektion utlöses en rad farliga åtgärder kommer att ske. Den relevanta BITSAdmin verktyget kommer att programmeras till att ladda ner en skadlig last från en fördefinierad hacker-kontrollerad server. Koden analys visar att skadlig kod är förvrängd bild-filer eller data utan en specifik anknytning. Detta görs för att undvika vanliga anti-virus skannar.
Vi räknar med att framtida versioner kan innehålla en fristående säkerhet bypass som kan hitta säkerhetsprogram som potentiellt kan blockera virus utförande: anti-virus, brandväggar, intrångsdetekteringssystem och virtuella maskinen är värd.
En farlig komponent som är en del av Trojan: s kodbas är att samla information modul:
- Personliga Information — Den Trojanska motorn klarar av att förvärva data som kan användas för att direkt avslöja identiteten på offren genom att leta efter strängar som till exempel en persons riktiga namn, smeknamn, intressen, telefonnummer, adress och all lagrad kontouppgifter. Den insamlade informationen kan användas för olika brott, inklusive ekonomiskt utnyttjande, stöld och utpressning.
- Maskinen Information — Den Trojanska motorn kan skapa en identifierare som tilldelas varje äventyras maskinen. Det görs med hjälp av ett algoirthm som tar sin inmatning av parametrar från värden som den installerade hårdvaran reservdelslista, användarinställningar och vissa operativsystem miljö värden.
Den insamlade informationen kommer sedan att skickas till den kriminella styrenheter via en nätverksanslutning för att deras C&C-servrar. Detta gör det möjligt för dem att ta över kontrollen över offret, maskiner, filer stöld och för att spionera på användarna. Vad är farligare är att Trojanen kan programmeras för att interagera med Windows Volume Manager, vilket ger det möjlighet att få tillgång till flyttbara lagringsenheter och nätverk aktier.
Andra skadliga åtgärder som kan följa är följande:
- Ihållande Installation — Astaroth Trojan kod kommer att lanseras varje gång datorn slås på. Detta steg i de flesta fall kommer också att inaktivera tillgång till start-menyn, alternativ och därigenom gör de flesta bruksanvisning removal guide värdelös.
- Windows registerändringar — Ändring till Windows registervärden är en gemensam aktivitet som genomförs av många skadliga i denna kategori. Förändringar till strängar som används av operativsystemet som kan orsaka övergripande prestanda-och stabilitetsproblem. Om någon tredje-parts program eller tjänster värden ändras därefter medföljande program avslutas oväntat med ett fel.
- Ytterligare Nyttolast Leverans — Den Trojanska kunden kan programmeras för att ladda ner andra hot mot den infekterade datorer.
- Radera Data — Viktiga filer kan raderas automatiskt så snart Astaroth Trojan infektion aktiveras. Gemensamma data som ska tas bort innehåller systemåterställningspunkter, Skugga, Volym Kopierar. Effektiv återställa de infekterade datorer görs med hjälp av en kombination av en effektiv anti-spyware verktyg och en data recovery-program.
Beroende på den kommande versioner och framtida angrepp kampanjen kan vi se en radikalt annorlunda Astaroth Trojan släppas inom en snar framtid.
Om din dator blev infekterad med Astaroth Trojan, du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna Trojan så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort Trojan och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i Astaroth Trojan.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
Astaroth Trojan beteende
- Integreras i webbläsaren via webbläsartillägget Astaroth Trojan
- Saktar internet-anslutning
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Ändrar skrivbordet och webbläsarinställningar.
- Installerar sig själv utan behörighet
Astaroth Trojan verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Astaroth Trojan geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).