- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Hinweise zur Entfernung von Scranos


Bitdefender Labs: Neue Malware Scranos auf dem Vormarsch
Rootkit-fähige Spyware ist plattformübergreifend, bereits global verbreitet und kann gezielt Daten aus Browsern abgreifen und nutzen

- Anzeigen -





Die Spezialisten der Bitdefenders Labs haben Informationen über die Verbreitung der neuen Malware "Scranos" bereitgestellt, die seit wenigen Monaten im Umlauf ist. Scranos ist eine Rootkit-fähige Spyware, die digital mit einem möglicherweise gestohlenen Zertifikat signiert wurde. Diese Rootkit-Malware ist eng mit dem Betriebssystem verbunden, extrem diskret und schwer zu erkennen. Sie ist in der Lage, Passwörter und andere Nutzerdaten zu stehlen und diese direkt für bösartige Zwecke zu nutzen. Scranos wird über Trojaner verbreitet, die als gehackte Software getarnt sind, oder über Anwendungen, die sich als legitime Software ausgeben wie E-Book-Leseapplikationen, Videoplayer, Treiber oder sogar Antimalware-Produkte.

Bei der Ausführung wird ein Rootkit-Treiber installiert, um die Malware zu tarnen und die Persistenz zu gewährleisten. Nach erfolgreicher Installation kontaktiert die Malware seinen Control- and Command-Server, um zu erfahren, welche weitere Komponenten heruntergeladen und installiert werden müssen.

Scranos trat erstmals im November 2018 in Erscheinung und wird seitdem von den kriminellen Betreibern weiterentwickelt. Die Aktivitäten, die teilweise in einem kürzlich vom chinesischen Internet-Unternehmen Tencent veröffentlichten Artikel beschrieben wurden, zielten in erster Linie auf chinesisches Territorium ab, bis sie vor kurzem weltweit ausbrachen. Waren viele Komponenten zu Beginn noch in einer Entwicklungsphase, so bestätigen die identifizierten Proben, dass sich die kriminelle Operation in einer Konsolidierungsphase befindet.

Neue Komponenten werden offensichtlich an bereits infizierten Benutzern getestet und es werde regelmäßig kleine Verbesserungen an alten Komponenten vorgenommen. Im März 2019 begannen die Command- and Controlserver jedoch, andere Malware-Stämme voranzutreiben - ein deutlicher Indikator dafür, dass das Netzwerk nun mit Dritten in Pay-per-Instal-Schemes verbunden ist.

Die verschiedenen Komponenten der Malware können vielen unterschiedlichen Zwecken dienen oder unterschiedliche Ansätze zur Erreichung ihrer Ziele verfolgen:

• >> Extrahieren von Cookies und Anmeldeinformationen aus Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu und Yandex
• >> Diebstahl der Zahlungskonten eines Benutzers der Webseiten Facebook, Amazon und Airbnb
• >> Senden von Freundschaftsanfragen an andere Konten über das Facebook-Konto des Benutzers
• >> Senden von Phishing-Nachrichten an die Facebook-Freunde des Opfers, die bösartige APKs enthalten, mit denen auch Android-Nutzer infiziert werden können
• >> Stehlen von Anmeldeinformationen für das Konto des Benutzers bei Steam
• >> Injizieren von JavaScript-Adware in den Internet Explorer
• >> Installation von Chrome/Opera-Erweiterungen, um JavaScript-Werbung auch auf diesen Browsern einzubinden
• >> Exfiltrieren des Browserverlaufs
• >> Anzeigen von im Hintergrund laufender Werbung oder stummer YouTube-Videos über Chrome. Einige Dropper können Chrome installieren, wenn es sich nicht bereits auf dem Computer des Opfers befindet.
• >> Abonnieren von YouTube-Videokanälen
• >> Herunterladen und Ausführen einer beliebigen Payload

Hinweise zur Entfernung von Scranos
Scranos Rootkit-Malware ist die eng mit dem Betriebssystem verbunden, extrem diskret und schwer zu erkennen. Infektionen sind nicht sofort auf den Geräten sichtbar, sondern zeigen sich in den Aktivitätsprotokollen der sozialen Medien des Benutzers oder durch unerklärliche Aktionen, die der Benutzer nicht durchgeführt hat, oder in der Zahlungshistorie/Rechnungen für Artikel, die nicht vom Benutzer gekauft wurden. Scranos tarnt sein Verhalten, indem es echte Benutzeraktivitäten nachahmt, unterstützt durch den Zugriff auf Benutzeranmeldeinformationen, die diese Aktivitäten validieren können und hinterlässt auch wenig forensische Beweise.

Wenn Benutzer den Verdacht haben, dass sie die Scranos-Malware haben, sollten Sie professionelle Hilfe bei der Erstellung einer sicheren, bootfähigen Umgebung/Rettungsmodus suchen. Sie können sich an die Bitdefender Labs auf Twitter (@BitdefenderLabs) wenden, um Hilfe zu erhalten.

Rootkits allgemein sind extrem hartnäckige Bedrohungen, die spezielle Schritte zur Erkennung und Entfernung erfordern. Anbei eine Schritt-für-Schritt-Anleitung für Computerspezialisten zur Entfernung:

1) Schließen Sie Ihre(n) Browser.

2) Beenden Sie alle Prozesse, die vom temporären Pfad aus laufen. Entfernen Sie Dateien, die als bösartig erkannt werden.

3) Beenden Sie den Prozess rundll32.exe.

4) Generieren Sie den Namen der Rootkit-Datei wie folgt:
>> Ermitteln Sie die SID des aktuellen Benutzers
>> Berechnen Sie MD5 der Zeichenkette, die sich aus a) ergibt.
>> Hol Sie sich die ersten 12 Zeichen von b).

5) Führen Sie ein Cmd- oder PowerShell-Fenster mit Administratorrechten und -typ aus:
sc stop <string resultierend aus Schritt 4>
sc delete <string resultierend aus Schritt 4>

6) Gehen Sie zu %WINDIR%\System32\Treiber und suchen Sie nach einer Datei namens
<string resulted from step 4>.sys und löschen Sie die Datei.

7) Entfernen Sie den DNS-Treiber (unten sollte MOIYZBWQSO durch Ihren speziellen Treibernamen ersetzt werden):
>> Überprüfen Sie, ob der DNS-Treiber installiert ist: in %TEMP% sollte sich eine Datei mit 10 zufälligen Großbuchstaben befinden (z.B. MOIYZBWQSO.sys). In der Registry sollte auch ein dem Namen entsprechender Schlüssel vorhanden sein (z.B.: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MOIYZBWQSO).
>> Führen Sie ein Cmd oder PowerShell-Fenster mit Administratorrechten und Typ aus:
sc stop MOIYZBWQSO
sc löschen MOIYZBWQSO
>> Löschen Sie die Datei %TEMP%\MOIYZBWQSO.sys.

8) Starten Sie Ihren PC neu, um den injizierten Code aus dem Prozess svchost.exe zu entfernen.

9) Entfernen Sie alle verdächtigen Erweiterungen von Ihren Browsern.

10) Ändern Sie alle Passwörter.
(Bitdefender: ra)

G Data Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Aktuelle Meldungen

  • GandCrab-Verschlüsselungstrojaner im Einsatz

    Neues Jahr, neue Ransomware-Welle: Mit einer Version von GandCrab werden derzeit gezielt Personalverantwortliche angegriffen. Dabei sollen Nutzer mit einem Trick dazu gebracht werden, den infizierten Anhang zu aktivieren. Betrüger versuchen derzeit erneut, Personalabteilungen mit Ransomware zu infizieren. Dabei kommt eine Version des GandCrab-Verschlüsselungstrojaners zum Einsatz. Anders als im September 2018 wird eine Bewerbung im Word-Format verschickt und keine eigentlich unübliche exe-Datei. Die Betreffzeile der E-Mails lautet derzeit "Bewerbung auf die angebotene Stelle." Für die angeblichen Bewerbungen werden, wie meist üblich, Frauennamen verwendet.

  • Malware verlangt Lösegeld in Kryptowährung

    Die Forscher von McAfee gaben die Entdeckung einer neuen Ransomware-Familie, "Anatova", bekannt. Die Ransomware wurde in einem privaten Peer-to-Peer (p2p)-Netzwerk entdeckt und zielt auf Verbraucher weltweit ab, indem sie das Symbol eines Spiels oder einer Application verwendet, um den Benutzer zum Herunterladen zu verleiten.

  • Malware-Verbreitung über Spam-Kampagne

    Nach einer relativen ruhigen Phase startet Emotet eine neue Spam-E-Mail-Kampagne. Darin setzen die Cyberkriminellen auf schädliche Word- und PDF-Anhänge, die als Rechnungen, Zahlungsbenachrichtigungen, Bankkontenwarnungen usw. getarnt sind und von scheinbar legitimen Organisationen stammen. Anstelle von Anhängen enthalten die Spam-E-Mails alternativ schädliche Links. Die in der Kampagne verwendeten E-Mail-Betreffe legen eine Ausrichtung auf englisch- und deutschsprachige User nahe. Eset-Sicherheitsprodukte erkennen und blockieren alle Emotet-Komponenten unter den im IoCs-Abschnitt aufgeführten Erkennungsnamen.

  • Vertraulichen Banking-Informationen

    Eset warnt vor der neu entdeckten Banking Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Nahezu jeder Browser betroffen

    Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.