Den Vidar Trojan är ett farligt vapen som används mot datoranvändare i hela världen. Det smittar främst via mjukvara och service sårbarhet utnyttjar. Vår artikel ger en översikt av sitt beteende enligt de insamlade prover och tillgängliga rapporter, även om det kan vara till hjälp i ett försök att ta bort viruset.
Den Vidar Trojan är att distribuera i en storskalig attack kampanj som riktar sig till datorn offer från hela världen. Vad som är särskilt farliga om det är att den distribueras tillsammans med några av de senaste GandCrab ransomware utgåvor.
GandCrab Ransomware
De flesta av de infektioner som orsakas av bedrifter gjort mot två populära mål — Internet Explorer och Adobe Flash Player med hjälp av Fallout Utnyttja Kit. Brottslingar kan använda både e-phishing-kampanjer och omdirigeringar lockande mål i interagera med faktorer som leder till infektioner.
Andra möjliga spridning taktik som kan omfatta något av följande:
- Skadliga Webbplatser — brottslingar kan skapa skadliga webbplatser som använder sig av liknande klingande domännamn och säkerhetscertifikat för att lagliga tjänster, webbplatser och företag i ett försök att göra mål till att tro att de har tittat på en riktig och säker plats. Samverkan med något av de element som ingår i kommer att leda till Vidar Trojan installation.
- Infekterade Dokument — hackare kan craft dokument som innehåller skadliga skript och makron för att handlingar av alla slag: presentationer, kalkylblad, textdokument och databaser. De är gjorda av bädda in det manus som kommer att skapa en anmälan fråga när filer öppnas. Dess innehåll kommer att begära att makron körs för att ”rätt åsikt” – fil. Detta kommer att utlösa Vidar Trojan infektion.
- Fildelning-Nät — Den Trojanska filer och alla tillhörande nyttolast transportörer kan spridas via nätverk, som BitTorrent där både legitimt och pirate innehåll distribueras.
- Malware Webbläsare Plugins — Dessa plugins, alternativt känd som kapare, är vanligtvis hittas på respektive förråd av de mest populära webbläsare. De är populärt installerad på grund av löften om större förbättringar eller tillägg av nya funktioner och gör ofta stulna eller hacker-gjort utvecklare referenser och omdömen från andra användare. De flesta av dem när de är installerade kommer att ändra standardinställningarna för att omdirigera offer för en hacker-kontrollerad landning sida.
Enligt den information som finns tillgänglig den första infektioner med Vidar som hände i oktober 2018.
Den Vidar Trojan är skrivet i språket C++ och verkar vara helt gjord av hacker-eller straffrättsliga kollektiva bakom dess distribution. Det faktum att den är skriven på detta språk gör att det anpassas till de flesta populära plattformar och operativsystem utan några svårigheter. En analys av koden visar att det är mycket nära samband med ett annat hot känt som Arkei som innehåller en hel samling av farliga moduler.
En av de utmärkande dragen i den Vidar Trojan är att det finns en vitlista tillåtna datorer som är baserade på nationella inställningar och placering av kontroller. Den malware analys visar att detta beteende är en av de första att lanseras. När du har installerat den Trojanska kommer att kontrollera om den nödvändiga maskin är konfigurerad enligt den tillåtna listan, infektioner att upptäcka något land eller regionala miljö utanför den tillåtna zonen kommer automatiskt att stanna. En uppsättning av tagna prover finns för att rikta följande områden: Ryssland, Vitryssland, Uzbekistan, Kazakstan, Azerbajdzjan.
Efter installation ett unikt dator-ID som genereras för varje infekterad värd. Det görs med hjälp av en algoritm som hämtar hårdvara profil värd tillsammans med den unika identifieringen ID (UUID) som ges till datorn under Microsoft Windows operativsystem installation. Den förvärvade informationen har bekräftats innehålla följande strängar: språk i display, tangentbord språk, lokal tid, tidszon, CPU Räkna, RAM-minne, grafikkort detaljer och nätverksgränssnitt.
De viktigaste Vidar Trojan kod lanseras efteråt som lagrar sin information i minnet som gör det betydligt svårare att identifiera och analysera de gjort infektioner.
Efter utbyggnaden på mål maskiner en hacker anslutning till hacker-kontrollerade servrar kommer att fastställas. Detta gör att brottslingar att utföra komplicerade uppgifter att stjäla aktiviteter. Följande alternativ är tillgängliga:
- Val av Data Typ — Cookies Autofyll, Sparade Lösenord, Data, Individuella filtypstillägg
- Val av Källa — FTP-program referenser (FileZilla och WinSCP), Webbläsare, Steam, Skype, Telegram, Specifika Mappar och System Platser
- Ytterligare Information — Skärmdumpar, Grabbers, Aktuella Data och Tid
- Insamling Alternativ — Max Filstorlek Urval, Identifiering och Förvärv av cryptocurrency gruvarbetare, specifika data sök
Vi har funnit att malware skapar egna mappar för organisationens ändamål, följande har identifierats:
Flera olika komponenter som används av legitima processer som används under: Freebl Bibliotek för NSS (en del av Mozilla-Webbläsaren), Mozilla-Webbläsaren Bibliotek och Visual C++ Runtime 2015. De är en del av virus paket och raderas därefter.
Den fördjupade analysen av det hot som visar att de flesta av de populära programvara som laddas ned och användas av slutanvändarna påverkas:
- Webbläsare — 360 Webbläsare, Amigo, BlackHawk, Procent Webbläsare, Chedot Webbläsare, Krom, CocCoc, Comodo Dragon, Cyberfox, Delar Webbläsare, Epica Integritet, Google Chrome, IceCat, Internet Explorer, K-Meleon, Kometa, Maxthon5, Microsot Kanten, Mozilla Firefox, Mustang Webbläsare, Nichrome, Opera, Orbitum, Blek Måne, QIP Surfa, QQ Webbläsare, Sputnik, Suhba Webbläsare, Tor Browser, Ficklampa, URAN, Vivaldi och Waterfox.
- Budbärare och E-Postklienter — Bat!, Pidgin, Telegram och Thunderbird
- Cryptocurrency Plånböcker — Anoncoin, BBQCoin, Bitcoin, DashCore, DevCoin, DigitalCoin, Elektron-Kassa, ElectrumLTC, Ethereum, Exodus, FlorinCoin, FrancoCoin, JAXX, Litecoin, MultiDoge, TerraCoin, YACoin och ZCash.
Den information grabber code kan krok upp till befintliga processer, orsaka oväntade villkor och läs Windows-Registret och uppgifter som finns i program-data. En lista på åt förråd är följande:
En nyttolast bärare modul är också tillgänglig, som kan utfärda ett slumpmässigt namn att tilldelas ett hot som är att vara hämtat från en annan värd och avrättades. När det har slutförts kör de viktigaste Vidar Trojan motorn får välja att antingen upphöra med sin process eller ta bort det helt från systemet.
När infektioner har slutförts kör hacker-kontrollerad server kommer att kontaktas igen för att rapportera om de ändringar som gjorts. Den information som samlas komponent och alla andra moduler kan överföra följande data: Hårdvaru-ID, OS namn och version, lite typ, profil-ID, Namn av de offer konto, antalet förvärvade kortinformation, antal stulna plånböcker, antal filer butiker, Telegram data och den aktuella versionen av Vidar Trojan.
Det verkar som om Vidar Trojan tillåter den kriminella kontroller för att ställa in ett kommando för kontroll av server. Det ger dem möjlighet att interagera med de infekterade värdar i realtid och utföra alla möjliga skadliga åtgärder. När du är inloggad på panelen hackare har förmågan att bygga nya releaser, ställ in lämplig konfiguration och för att visa den aktuella förhållanden. Panelen visar det aktuella antalet offer och ”konto balans”. Detta innebär att aktörer kan ha leasade tillgång via hacker underground marknader. Denna utbyggnad metod är tagen från RaaS system som används av ransomware virus. Hackare betala utvecklare en viss avgift för att använda Vidar Trojan panel under en fastställd period av tid — veckovis eller månadsvis, beroende på erbjudande. Detta abonnemang-baserad åtkomst garanterar också att angriparna har alltid tillgång till den senaste versionen av Trojan-kod.
Varje värd har loggfilen för detaljer och förmågan att lagra anteckningar på dem. Alla extraherade lösenord är också placerade i en separat flik som gör det mycket bekvämt att komma åt de förvärvade meriter.
Som det verkar Vidar Trojan är en mycket potent och kan malware som bör tas bort när aktiva infektioner har identifierats. Detta kan vara mycket svårt, eftersom motorn inte kan tränga in i försvar av operativsystemet. Det är rekommenderat att sådana infektioner tas bort av professionella anti-spyware-lösningar som garanterar en full system för sanering.
Om din dator blev infekterad med Vidar Trojan Trojan, du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna Trojan så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort Trojan och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i Vidar Trojan.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Dr.Web | Adware.Searcher.2467 | |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
Vidar Trojan beteende
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- Saktar internet-anslutning
- Ändrar användarens hemsida
- Omdirigera webbläsaren till infekterade sidor.
- Integreras i webbläsaren via webbläsartillägget Vidar Trojan
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Stjäl eller använder dina konfidentiella Data
- Vidar Trojan ansluter till internet utan din tillåtelse
- Installerar sig själv utan behörighet
- Ändrar skrivbordet och webbläsarinställningar.
- Gemensam Vidar Trojan beteende och några andra emplaining som Textinfo relaterade till beteende
- Vidar Trojan inaktiveras installerade säkerhetsprogram.
Vidar Trojan verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Vidar Trojan geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).