Den Teamfostealer Trojan är ett farligt vapen som används mot datoranvändare i hela världen. Det smittar främst via infekterade program installatörer. Vår artikel ger en översikt av sitt beteende enligt de insamlade prover och tillgängliga rapporter, även om det kan vara till hjälp i ett försök att ta bort viruset.
Den Teamfostealer Trojan är en mycket farlig malware som nyligen fångade i en aktiv kampanj. Metoden för fördelning ses som mycket effektiva — den kriminella kollektiva bakom Teamfostealer Trojan är för närvarande bädda in den Trojanska installation koden i ansökan installatörer av en av de mest populära system utilities — Team Viewer. Detta är en av de mest använda lösningar för att avlägsna inloggningar.
Denna mekanism är främst gjort genom att ta den verkliga installatörer och ändra dem till att innehålla viruset kod. Hacka kollektiva kommer att ladda ner den legitima setup-filen och ändrar den i enlighet med detta. De filer som sedan levereras till mål med hjälp av en serie av taktik — att koncentrera sig på en viss metod eller med flera stycken på en gång för att maximera antalet möjliga smittade datorer.
Just nu tagna prover har hittats inlagd på hacker-kontrollerade områden. Detta innebär att vissa ind för en omdirigering system är anställd för att locka dem till att ladda ner och köra skadliga filer. Det finns flera populära metoder som kan göras:
- E-post-baserade Phishing-Kampanjer — hackare kan planera en e-post-baserade phishing kampanj som skickar ut meddelanden om att posera som legitima meddelanden genom att welll kända företag eller tjänst. De kriminella kommer att spolat den ursprungliga formgivning och text layout av företag som kan göra det nästan omöjligt att skilja dem från riktiga. Den skadliga Team Viewer filer som innehåller Teamfostealer Trojan installation koden kan kopplas i kroppen innehållet eller direkt knutna till den e-post.
- Skadliga Webbplatser — En liknande mekanism är att skapa och underhålla webbsidor som ser ut som riktiga målsidor på välkända sökmotorer, ladda ner portaler, företagsprofiler sidor och etc. De är värd på liknande klingande domännamn som är mycket svåra att skilja från legitima sådana. Dessutom kan de innehålla säkerhet certifikat som kan bygga en känsla av att de tittat på sidor som är säkra.
- Bunt Nedladdningar — Teamfostealer Trojan kan vara inbäddade i ansökan installatörer över hela Internet. De är mycket liknande till den infekterade ansökan installatörer i en känsla av att de görs genom att ändra legitima filer med virus kod.
- Fildelning-nät — BitTorrent och andra P2P-plattformar är mycket populära på att skicka både legitimt och pirate innehåll. De är bland de farligaste förmedlare av skadliga filer.
- Webbläsare Kapare — infektioner kan också orsakas genom användning av farliga plugins som görs för de mest populära webbläsare, alternativt känd som kapare. De är tillgängliga från deras tillhörande förråd eller hämta webbplatser och främjas genom utförliga beskrivningar och falska omdömen. När du installerat de kommer att ändra standardinställningarna för att omdirigera offer för en hacker-kontrollerad webbsida. Samtidigt virus också kommer att utlösas.
Flera andra metoder som kan användas i framtida kampanjer. Notera att levereras skadliga Team Viewer paket är självuppackande arkiv (SFX/HAVET), vilket är inte det sätt som säljaren har tänkt att det ska vara. Detta är ännu en varningssignal om att paketet kan vara skadlig i naturen.
Den Teamfostealer Trojan kommer att köra den typiska beteende mönster som observerats av många andra liknande hot. I stället för den legitima Team Viewer farlig Trojan som kommer att användas till system. Den första kommandon som ska köra kommer att släppa spyware data i Användarens tillfälliga mappen som filerna som har typiska Windows-relaterade uppgifter som inte höja någon larm av misstanke.
Den skadliga TeamViewer.exe sedan kommer att läsa in dessa filer och starta en insamling av data modul som kommer att få den information och skicka den till hacker aktörerna via en nätverksanslutning. Följande information är bekräftad för att få fram:
- Operativsystem
- OS Arkitektur
- Datorns Namn
- Användarnamn
- RAM-storlek
- Förekomsten av AV-Produkter
- Administratörsbehörighet
Så långt det Trojanska har visat att fokusera främst på data hämtning, eventuellt utvidga denna funktion för att personlig information . Om detta är gjort så kommer motorn programmeras-verktyget förvärva strängar som direkt kan avslöja identiteten på offret användare. Dessa inkluderar deras namn, adress, telefonnummer, intressen och eventuella sparade lösenord. Om det Trojanska interagerar med Windows volymhanteraren det kommer finnas möjlighet att få tillgång till flyttbara lagringsenheter och nätverk aktier. Framgångsrikt utnyttjande av detta beteende kan bidra till att underlätta att brott som stöld av identitet och finansiella oegentligheter.
Andra skadliga beteende som kan vara utställda omfattar utförande av andra moduler i framtida versioner. En gemensam komponent är den fortsatta installationen — det kommer att ställa upp infektion på ett sådant sätt att den skadliga koden kommer att vara igång varje gång datorn slås på. Detta innebär att de flesta av bruksanvisning instruktioner kommer inte att fungera som service kommer att inaktivera tillgång till återhämtning menyer och startalternativ.
En tillhörande praxis är lanseringen av en säkerhet bypass som kommer att skanna den infekterade maskinen för förekomst av anti-virus produkter och aktivt inaktivera dem. Detta är en effektiv lösning mot alla tjänster som kan blockera den Trojanska verksamhet: en brandvägg, anti-virus produkter, virtual machine värdar och etc.
En av de mest farliga konsekvenserna av att ha sådana infektioner är verksamma på en värddator är när en tillkommande lasten är levererade. Detta är ett mycket farligt scenario som det har redan inaktiverat säkerhet på måldatorn och alla tappade skadlig kod kommer att ha möjlighet att veckla ut hela deras kapacitet. Den kommande kampanj kan innehålla ett radikalt förändrats-motor som kommer att följa en annan uppsättning av beteende mönster.
Om din dator blev infekterad med Teamfostealer Trojan Trojan, du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna Trojan så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort Trojan och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i Teamfostealer Trojan.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
Teamfostealer Trojan beteende
- Ändrar skrivbordet och webbläsarinställningar.
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Ändrar användarens hemsida
- Installerar sig själv utan behörighet
- Teamfostealer Trojan inaktiveras installerade säkerhetsprogram.
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Stjäl eller använder dina konfidentiella Data
Teamfostealer Trojan verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Teamfostealer Trojan geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).