Astaroth-Trojaner

So entfernen Sie den Astaroth-Trojaner - Anweisungen zum Entfernen von Viren (aktualisiert)

Leitfaden zur Entfernung von Astaroth-Viren

Was ist Astaroth?

Astaroth ist ein Hochrisiko-Trojaner-Virus. Es wird normalerweise über Spam-E-Mail-Kampagnen verteilt. Kriminelle senden Hunderttausende von E-Mails mit irreführenden Nachrichten, in denen Benutzer aufgefordert werden, angehängte Dateien (Microsoft Office-Dokumente) zu öffnen. Nach dem Öffnen führen diese Dateien Befehle aus, die Astaroth in das System injizieren. Nach der Infiltration injiziert Astaroth andere schädliche Apps. Zum Zeitpunkt der Forschung wurde es verwendet, um einen Keylogger zu verbreiten, der zum Stehlen persönlicher Daten entwickelt wurde. Astaroth wird jedoch auch verwendet, um andere Malware zu verbreiten.



Astaroth-Malware



Nach erfolgreicher Systeminfiltration führt Astaroth eine Reihe von Aktionen aus, um Malware zu injizieren. Das Endergebnis ist jedoch identisch: Infiltration anderer Malware. Zum Zeitpunkt der Forschung zielte Astaroth hauptsächlich auf Benutzer aus Südamerika ab. Der Keylogger, der über Astaroth verbreitet wurde, zeichnet die Browsing-Aktivitäten im Internet Explorer-Webbrowser auf. Um sicherzustellen, dass Benutzer diesen Browser verwenden, beendet die Malware die Prozesse von Google Chrome und Mozilla Firefox (den beliebtesten Browsern), wenn sie ausgeführt werden. Auf diese Weise versucht Keylogger, Benutzer zu der Annahme zu verleiten, dass diese Browser nicht ordnungsgemäß funktionieren. Da keine anderen Browser verfügbar sind, werden Benutzer aufgefordert, den Internet Explorer zu starten. Der Keylogger richtet sich an brasilianische Banken und Unternehmen. Die Malware zeichnet nur Tastenanschläge auf, wenn eine bestimmte Website geöffnet wird. Wenn Cyberkriminelle jedoch Zugriff auf Bankkonten erhalten, werden sie mit Sicherheit versuchen, Geld zu stehlen. Cyberkriminelle wollen so viel Umsatz wie möglich generieren. In einigen Fällen vermehren diese Personen jedoch Viren mit destruktiven Zwecken (sie versuchen, Daten und finanzielle Verluste zu verursachen). Beachten Sie, dass die Keylogger-Entwickler auch auf Unternehmenswebsites abzielen. Wenn Kriminelle Zugriff auf das Admin-Panel einer Website erhalten, können sie verschiedene Probleme verursachen. Beispielsweise können sie vorhandene Inhalte entfernen, schädliche Inhalte hinzufügen, Benutzerkonten löschen usw. Darüber hinaus können diese Personen entführte Websites mit Skripten versehen, die zum Minen der Kryptowährung verwendet werden. In diesem Fall wird der Computer jedes Besuchers beim Öffnen der Website als Cryptomining-Tool verwendet. Viele Dienste stellen diese Funktionen rechtmäßig bereit (z. GRIDCASH , CoinImp , Coinhive usw.) jedoch missbrauchen Kriminelle Cryptomining-Techniken, um Einnahmen zu generieren. Darüber hinaus verwenden viele reguläre Benutzer (die mit Cybersicherheit nicht vertraut sind) für viele Konten ein identisches Kennwort. Nach dem Zugriff auf ein Konto können Kriminelle häufig auf andere zugreifen (z. B. E-Mails, soziale Netzwerke usw.). In jedem Fall kann der mit Astaroth verteilte Keylogger schwerwiegende finanzielle / Datenverluste und Datenschutzprobleme verursachen. Obwohl Astaroth derzeit Keylogging-Malware verbreitet, könnten Kriminelle diesen Trojaner in Zukunft verwenden, um andere Viren zu vermehren, wie z Ransomware , Kryptominere , und so weiter. Daher stellt Astaroth eine erhebliche Bedrohung für jeden Benutzer dar.

Bedrohungsübersicht:
Name Astaroth-Virus
Bedrohungsart Trojaner, Passwort-Diebstahl-Virus, Banking-Malware, Spyware
Erkennungsnamen Avast (andere: Malware-gen [Trj]), BitDefender (Trojan.LNK.Agent.AJC), ESET-NOD32 (LNK / TrojanDownloader.Agent.SM), Kaspersky (Trojan.WinLNK.Agent.uu), vollständige Liste ( VirusTotal )
Symptome Trojaner sollen den Computer des Opfers heimlich infiltrieren und schweigen, sodass auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar sind.
Verteilungsmethoden Infizierte E-Mail-Anhänge, böswillige Online-Werbung, Social Engineering, Software-Risse.
Beschädigung Gestohlene Bankdaten, Passwörter, Identitätsdiebstahl, Computer des Opfers, der einem Botnetz hinzugefügt wurde.
Entfernung von Malware (Windows)

Um mögliche Malware-Infektionen auszuschließen, scannen Sie Ihren Computer mit legitimer Antivirensoftware. Unsere Sicherheitsforscher empfehlen die Verwendung von Malwarebytes.
▼ Malwarebytes herunterladen
Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.



Realtek Audio Manager Windows 10 herunterladen

Es gibt zahlreiche Trojaner-Viren, die unter Verwendung von Spam-E-Mail-Kampagnen verbreitet werden (z. Qakbot , ExileRat , Ave Maria , TrickBot , FormBook , usw.). Die Entwickler dieser Viren sind unterschiedlich, und daher kann sich auch die Funktionalität unterscheiden (einige sammeln Informationen, andere injizieren andere Viren usw.). Alle stellen jedoch eine erhebliche Bedrohung für Ihre Privatsphäre und die Computersicherheit dar. Daher ist die Entfernung dieser Malware von größter Bedeutung.

Wie hat Astaroth meinen Computer infiltriert?

Wie oben erwähnt, wird Astaroth mithilfe von Spam-E-Mail-Kampagnen verbreitet. Kriminelle senden E-Mails mit böswilligen Anhängen - Microsoft Office-Dokumente (Excel, Word usw.). Nach dem Öffnen werden Benutzer aufgefordert, Makrobefehle zu aktivieren. Dabei erteilen Benutzer Dateien die Berechtigung, Makros auszuführen, die Astaroth herunterladen und auf dem System installieren. Dies ist jedoch nur der Anfang. Nach erfolgreicher Infiltration führt Astaroth viele Aktionen aus, um zusätzliche Malware einzuschleusen. Astaroth lädt eine .lnk-Datei herunter und führt sie aus, die zu einer externen URL führt (.lnk-Dateien werden normalerweise als Verknüpfungen für den Zugriff auf im System gespeicherte Inhalte verwendet). Astaroth lädt dann eine .php-Datei von der URL herunter. Diese heruntergeladene .php-Datei enthält ein Stylesheet mit darin eingebettetem JavaScript. Der JavaScript-Code generiert eine Zufallszahl, um eine CloudFlare-URL auszuwählen, von der die nächste Nutzlast (ein weiteres Stylesheet mit JavaScript) heruntergeladen wird. Das zweite JavaScript platziert die Malware (ein Keylogger zum Zeitpunkt der Recherche). Außerdem wird zufällig eine Download-URL ausgewählt und anschließend zwei ausführbare Dateien des Windows-Betriebssystems kopiert (' certutil '[die Kopie wird umbenannt in' certix '] und ' regsvr32 ') zum ' % TEMP% ' Mappe. Diese werden später verwendet, um den Malware-Download abzuschließen. Der letzte Schritt besteht darin, den Ordner 'Programme' zu überprüfen, um festzustellen, ob die Avast-Antivirensuite installiert ist. Ist dies nicht der Fall, führt das Skript eine DLL-Datei aus und beendet sich selbst. Sobald alle diese Schritte ausgeführt wurden, führt Astaroth schließlich die heruntergeladene Malware (Keylogger) aus. Denken Sie auch hier daran, dass sich das Verhalten von Astaroth (Liste der Aktionen) ändern kann, je nachdem, ob Kriminelle diesen Trojaner verwenden, um andere Malware zu verbreiten.

Wie vermeide ich die Installation von Malware?

Seien Sie beim Surfen im Internet sehr vorsichtig, um diese Computerinfektionen zu vermeiden. Überlegen Sie zweimal, bevor Sie E-Mail-Anhänge öffnen. Dateien, die irrelevant erscheinen und von verdächtigen / nicht erkennbaren E-Mail-Adressen empfangen werden, sollten niemals geöffnet werden. Diese sollten ohne Lesen gelöscht werden. Denken Sie außerdem daran, dass Kriminelle häufig irreführende Nachrichten senden, in denen behauptet wird, dass der Empfänger etwas kostenlos erhalten wird (z. B. hat der Empfänger eine Lotterie gewonnen, ein Paket erhalten, jemand hat Geld auf das Konto des Empfängers überwiesen usw.). Sie hoffen, dass der Empfänger dazu verleitet wird, den Anhang zu öffnen. Lassen Sie sich von diesem Betrug nicht täuschen. Es ist auch von größter Bedeutung, dass eine seriöse Antiviren- / Antispyware-Suite installiert ist und jederzeit ausgeführt wird. Diese Tools erkennen und beseitigen häufig Malware, bevor sie das System beschädigen können. Die Hauptgründe für Computerinfektionen sind mangelndes Wissen und nachlässiges Verhalten. Der Schlüssel zur Sicherheit ist Vorsicht. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit durchzuführen Malwarebytes für Windows um infiltrierte Malware automatisch zu beseitigen.



Eine weitere irreführende E-Mail, die für den Astaroth-Trojaner wirbt:

Zweite E-Mail für den Astaroth-Trojaner

Update 6. März 2020 - Die aktualisierte Version von Astaroth ist jetzt in der Lage, Screenshots zu machen, Opfer daran zu hindern, Hotkeys (Tastaturkürzel) zu verwenden, Dateien herunterzuladen und auszuführen und einen Computer neu zu starten. Cyberkriminelle können diese aktualisierte Version verwenden, um Screenshots der Computeraktivitäten des Opfers zu erstellen. Erstellen Sie beispielsweise Screenshots von geöffneten persönlichen, vertraulichen Dokumenten, Konten, die vertrauliche Informationen enthalten, und erfassen Sie wichtige Daten auf andere Weise. Sie können es auch verwenden, um zu verhindern, dass Opfer Tastaturkürzel verwenden. Sie können beispielsweise verhindern, dass sie aktivierte / geöffnete Fenster schließen, indem Sie die Tastenkombination Alt + F4 blockieren. Darüber hinaus kann Astaroth jetzt verwendet werden, um verschiedene Malware (oder andere Programme) durch Herunterladen und Ausführen verschiedener Dateien zu verbreiten. Dies bedeutet, dass Cyberkriminelle Systeme mit anderer schädlicher Software wie infizieren können Ransomware , Kryptominere usw. Eine weitere Sache, die jetzt mit Astaroth durchgeführt werden kann, ist ein Systemneustart. Zum Beispiel ist es möglich, dass ein Computer neu gestartet werden muss, damit einige Änderungen wirksam werden, und jetzt könnten Cyberkriminelle hinter Astaroth dies problemlos tun.

Update 24. März 2020 - Um vorhandene Erkennungen zu umgehen, führt die aktualisierte Astaroth-Version keine Systemtools aus und verwendet die Windows Management Instrumentation-Befehlszeile (WMIC). Jetzt werden böswillige Nutzdaten durch Missbrauch von ADS (Alternate Data Streams) ausgeblendet und durch Missbrauch von ExtExport.exe, einem legitimen Prozess, geladen. Derzeit versuchen Cyberkriminelle, Astaroth durch eine Spam-Kampagne zu verbreiten, indem sie E-Mails mit einem Website-Link senden. Die Angriffskette beginnt, wenn Empfänger diesen Link öffnen, der zu einer Archivdatei (ZIP) führt, die eine Verknüpfungsdatei (LNK) enthält, in der verschleierte BAT-Befehle ausgeführt werden, um eine einzeilige JavaScript-Datei zu löschen. Außerdem kann Astaroth installierte Sicherheitssoftware erkennen. Wenn es eine erkennt, versucht es, diese zu deaktivieren.

Update 12. Mai 2020 - Der Astaroth-Trojaner verwendet verschiedene Methoden, um eine Verbindung zu seinem C & C-Server (Control and Command) herzustellen. Eine der kürzlich beobachteten Techniken besteht darin, eine Verbindung zu einem YouTube-Kanal herzustellen und den Text in seiner Beschreibung abzurufen. Darin befindet sich eine verschlüsselte URL zum C & C-Server. Da Astaroth jedoch mehrere Methoden anwendet, selbst wenn der Kanal von YouTube heruntergefahren wird, kann die Malware auf ihre anderen Taktiken zurückgreifen, um Kontakt mit dem C & C-Server herzustellen.

Sofortige automatische Entfernung von Malware: Das manuelle Entfernen von Bedrohungen kann ein langwieriger und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse erfordert. Malwarebytes ist ein professionelles Tool zum automatischen Entfernen von Malware, das empfohlen wird, um Malware zu entfernen. Laden Sie es herunter, indem Sie auf die Schaltfläche unten klicken:
▼ HERUNTERLADEN Malwarebytes Durch das Herunterladen der auf dieser Website aufgeführten Software stimmen Sie unserer zu Datenschutz-Bestimmungen und Nutzungsbedingungen . Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.

Ich bin ein Programmierer, der vor ungefähr einem halben Jahr Ihr E-Mail-Konto und Ihr Gerät geknackt hat.

Schnellmenü:

Wie entferne ich Malware manuell?

Das manuelle Entfernen von Malware ist eine komplizierte Aufgabe. In der Regel ist es am besten, Antiviren- oder Anti-Malware-Programmen dies automatisch zu ermöglichen. Um diese Malware zu entfernen, empfehlen wir die Verwendung Malwarebytes für Windows . Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

böswilliger Prozess läuft auf Benutzer

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mithilfe des Task-Managers, und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit den folgenden Schritten fortfahren:

manuelle Entfernung von Malware Schritt 1Laden Sie ein Programm namens herunter Autoruns . Dieses Programm zeigt Autostart-Anwendungen, Registrierungs- und Dateisystemspeicherorte an:

Screenshot der Autoruns-Anwendung

manuelle Entfernung von Malware Schritt 2Starten Sie Ihren Computer im abgesicherten Modus neu:

Wie schalte ich die Kamera auf meinem Mac aus?

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü Windows Advanced Option angezeigt wird, und wählen Sie dann in der Liste den abgesicherten Modus mit Netzwerk aus.

Abgesicherten Modus mit Netzwerktreibern

Video, das zeigt, wie Windows 7 im abgesicherten Modus mit Netzwerk gestartet wird:

Windows 8-Benutzer : Windows 8 starten ist abgesicherter Modus mit Netzwerk - Gehen Sie zum Windows 8-Startbildschirm und geben Sie Erweitert ein. Wählen Sie in den Suchergebnissen Einstellungen aus. Klicken Sie auf Erweiterte Startoptionen. Wählen Sie im geöffneten Fenster 'Allgemeine PC-Einstellungen' die Option Erweiterter Start aus. Klicken Sie auf die Schaltfläche 'Jetzt neu starten'. Ihr Computer wird nun im Menü 'Erweiterte Startoptionen' neu gestartet. Klicken Sie auf die Schaltfläche 'Fehlerbehebung' und dann auf die Schaltfläche 'Erweiterte Optionen'. Klicken Sie im erweiterten Optionsbildschirm auf 'Starteinstellungen'. Klicken Sie auf die Schaltfläche 'Neustart'. Ihr PC wird im Bildschirm Starteinstellungen neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.

Windows 8-abgesicherter Modus mit Netzwerk

Video, das zeigt, wie Windows 8 im abgesicherten Modus mit Netzwerk gestartet wird:

So finden Sie meinen Produktschlüssel für Microsoft Office

Windows 10-Benutzer : Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf 'Neu starten', während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster 'Option auswählen' auf 'Fehlerbehebung' und anschließend auf 'Erweiterte Optionen'. Wählen Sie im Menü 'Erweiterte Optionen' die Option 'Starteinstellungen' und klicken Sie auf die Schaltfläche 'Neustart'. Im folgenden Fenster sollten Sie auf Ihrer Tastatur auf die Schaltfläche 'F5' klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Windows 10 abgesicherter Modus mit Netzwerk

Video, das zeigt, wie Windows 10 im abgesicherten Modus mit Netzwerk gestartet wird:

manuelle Entfernung von Malware Schritt 3Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

extrahieren Sie autoruns.zip und führen Sie autoruns.exe aus

manuelle Entfernung von Malware Schritt 4Klicken Sie in der Autoruns-Anwendung oben auf 'Optionen' und deaktivieren Sie die Optionen 'Leere Speicherorte ausblenden' und 'Windows-Einträge ausblenden'. Klicken Sie nach diesem Vorgang auf das Symbol 'Aktualisieren'.

Klicken

manuelle Entfernung von Malware Schritt 5Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen aufschreiben. Beachten Sie, dass einige Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf den Namen und wählen Sie 'Löschen'.

So öffnen Sie den Geräte-Manager über cmd

Suchen Sie die Malware-Datei, die Sie entfernen möchten

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Sicher sein zu Aktivieren Sie versteckte Dateien und Ordner bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, müssen Sie ihn entfernen.

Suchen nach Malware-Dateien auf Ihrem Computer

Starten Sie Ihren Computer im normalen Modus neu. Befolgen Sie diese Schritte, um Malware von Ihrem Computer zu entfernen. Beachten Sie, dass für die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erforderlich sind. Wenn Sie nicht über diese Fähigkeiten verfügen, überlassen Sie das Entfernen von Malware Antiviren- und Anti-Malware-Programmen. Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, eine Infektion zu verhindern, als später zu versuchen, Malware zu entfernen. Installieren Sie die neuesten Betriebssystemupdates und verwenden Sie Antivirensoftware, um die Sicherheit Ihres Computers zu gewährleisten.

Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit zu scannen Malwarebytes für Windows .