Malware Entfernen microsoft

Schadprogrammentfernung Microsoft

im Microsoft Office, um den HTTP-Malware-Zyklon zu verbreiten und die eigenen Daten zu aktualisieren und zu entfernen. Die neue Angreiferkampagne missbraucht Sicherheitsschwachstellen in Microsoft Office, um Folgendes zu erreichen

Die Ausbreitung des Malware-Zyklons von " Neue Angreiferkampagne macht Schwachstellen in Microsoft Office ausgenutzt, um

Die Ausbreitung des Malware-Zyklons von

Zu den komplexen Features dieser öffentlichen, ausgereiften Hintertür, die zumindest seit Beginn des Jahres 2016 im Einsatz ist, gehören Tastendruckprotokollierung, Passwort-Tipping, Download und Ausführung weiterer Plugins, das Aufrufen von Distributed Denial of Service (DDoS)-Angriffen sowie die Aktualisierung und Entfernung Ihrer eigenen Speicher. Wenn es entsprechend konfiguriert ist, kann es mit dem Command and Control Server (C2-Server) über Gate (The Onion Router) kommunizier.

Der Schadprogramm kann mehrere Plug-Ins heruntergeladen werden, darunter einige, die Kryptomining und Passwort-Tipping-Funktionen von Browsern und E-Mail-Software beinhalten. Der Zyklon hat auch einen hocheffizienten Überwachungsmechanismus für Fortpflanzung und Aufprall. Im letzten Malware-Angriff wurde Zyklon vor allem über Spam-E-Mails verbreite.

In einer solchen E-Mail ist in der regel eine ZIP-Datei mit einer bösartigen DOC-Datei enthalten (siehe Beispiel in Figur 1). Der Betroffene erhält eine E-Mail mit einem ZIP-Anhang, der eine bösartige DOK-Datei mitteilt. In diesen Dokumenten werden zumindest drei in Microsoft Office bekannt gewordene Schwachstellen ausgenutzt, die wir im Kapitel "Angriffstechniken" erklären werden. Beim Herunterladen und Ausführen des neuesten bösartigen Codes vom C2-Server wird das PowerShell-Skript heruntergeladen.

Figur 2 zeigt ein Diagramm des Angriffsprozesses und die Abfolge der Einzelschritte. Ein OLE-Objekt ist in die DOC-Datei eingebunden. Wenn dieser Aufruf erfolgt, wird eine weitere DOC-Datei unter der abgespeicherten URL heruntergeladen (siehe Bild 3). Auch bei einer anderen vor kurzem entdeckten Schwachstelle (CVE-2017-11882) in Microsoft Office haben wir ein vergleichbares Verhalten festgestellt.

Nachdem der bösartige DOC-Anhang geöffnet wurde, wird eine weitere Akte über eine im embedded OLE-Objekt hinterlegte URL geladen (siehe Abb. 4). In der heruntergeladenen XML-basierten Dokumentdokumenten-Datei befindet sich ein PowerShell-Befehl (siehe Figur 6), der die binäre Pausendatei herunterlädt. ps1. Beim Herunterladen des PowerShell-Skripts (siehe Abb. 7) wird der jeweils nÃ??chste bösartige Code (Pause. ps1) geladen.

Bild 8 zeigt die Netzwerkverbindung der geladenen Datenpause. v1. Dies ist ein weiteres PowerShell-Skript mit Base64-Verschlüsselung (siehe Figur 8). Bild 9 zeigt den entschlüsselten Basispositionscode Base64. Mit dem eingefügten Programmcode wird der letzte bösartige Programmcode vom Computer heruntergeladen (siehe Abb. 10). Nachdem die Akte geöffnet wurde, werden folgende Schritte durchgeführt:

Es speichert eine eigene Kopiervorlage und eine im XML-Format vorliegende Akte mit den Konfigurationsinformationen für die Arbeitsvorbereitung (siehe Bild 11) unter %AppData%\svchost.exe\svost.exe\svchost. exe. exe. Der ausgepackte Kode ist ein Zyklon. Cyclone holt sich zunächst eine von außen eingegebene IP-Adresse des betroffenen Computers: In der ausführbaren Zyklondatei befindet sich eine weitere in der .

Dieses File wird dekodiert und in eine Installation von InstallUtiil.exe eingefüg. Bei der C2-Kommunikation verwendet Zyklon das Tor-Netzwerk als Gegenleistung. Der Schädling schickt eine POST-Anforderung an den C2-Server. Über die File gate.php, die ebenfalls im File Memory gespeichert ist, wird die Server-Adresse vorgeben. Der C2-Server schickt als Reaktion auf diese Anforderung einen offenen RSA-Schlüssel, der mit Basis64 verschlüsselt ist (siehe Bild 12).

Nach dem Verbinden mit dem C2-Server kann die Malware mit dem Control-Server kommunizier. Die folgende Grafik zeigt die originale Anforderung und die zugehörige Serverantwort für die Kommandos "settings" (Abbildung 13), "sign" (Abbildung 14) und "ddos" (Abbildung 15). Cyclone läd eine Anzahl von Plugins vom C2-Server herunter.

Der Plugin-URL wird in einer in folgendem Dateiformat abgelegt: Cyclone kann auch die E-Mail-Kennwörter der nachfolgenden Programme abrufen:

Der Schadcode kann die Lizenzschlüssel/Seriennummern von mehr als 200 populären Software-Versionen wie Office, SQL Server, Adobe und Nero automatisiert entdecken und dechiffrieren. Cyclone kann einen umgekehrten SOCKS-5 Proxy-Server auf betroffenen Host-Computern einrichten. Cyclone kann die Klemmbrett knacken und die vom Benutzer vervielfältigte Asphaltadresse durch eine vom Steuerrechner des Angreifers angegebene Anschrift ersetzt.

Security-Experten haben mehrere Varianten des HTTP-Malware-Zyklons entdeckt, die auf namhaften Underground-Websites zu den nachfolgend genannten Konditionen zum Kauf angeboten wurden:: Häcker verwenden neu entdeckte Schwachstellen in populärer Computersoftware, wie in diesem Beispiel Microsoft Office.