Anweisungen zum Entfernen von FormBook-Malware
Was ist FormBook?
FormBook ist ein Virus, der entwickelt wurde, um persönliche Daten von den Computern der Opfer zu stehlen. Untersuchungen zeigen, dass diese Malware mithilfe von Spam-E-Mails verbreitet wird, die schädliche Anhänge enthalten. Darüber hinaus stellen Entwickler diesen Virus als 'Service' zur Verfügung. Jeder aufstrebende Cyberkriminelle kann ein Abonnement bezahlen und Zugriff auf das FormBook-Tool erhalten. Die Liste der Opfer ist groß, jedoch wurden die meisten FormBook-Infektionen in den USA und in Südkorea entdeckt.
Screenshot einer Spam-E-Mail, die den FormBook-Virus verbreitet:
Nach der Infiltration beginnt FormBook mit der Überwachung der Computeraktivität und sammelt Daten. Diese Malware zeichnet Tastenanschläge auf, macht Screenshots und erfasst andere Informationen wie besuchte Websites, Zwischenablagedaten, gespeicherte Anmeldungen / Kennwörter usw. Die Informationen enthalten häufig persönliche Daten (z. B. Bankinformationen), die der FormBook-Distributor zur Erzielung von Einnahmen missbrauchen kann. Daher kann das Vorhandensein dieser Malware zu erheblichen finanziellen Verlusten und schwerwiegenden Datenschutzproblemen führen. Darüber hinaus kann FormBook Befehle ausführen, die von Remote Command and Control (C & C) -Servern gesendet werden. Beispielsweise können die Befehle das System neu starten und herunterfahren, verschiedene Dateien / Archive herunterladen und ausführen / extrahieren usw. ( vollständige Liste der Funktionen ). Auf diese Weise können Kriminelle Remote-Aufgaben ausführen, was zu anderen Computerinfektionen mit hohem Risiko oder Systembeschädigungen führt (z. B. können Kriminelle herunterladen und ausführen Ransomware ). FormBook-Malware muss sofort beseitigt werden. Wenn Sie kürzlich verdächtige E-Mail-Anhänge geöffnet haben und glauben, dass Ihr System infiziert ist, verwenden Sie eine legitime Antivirensuite, um einen vollständigen System-Scan durchzuführen und alle Bedrohungen zu beseitigen. Es wird dringend empfohlen, eine zu installieren und auszuführen. Dies hilft, weitere Infektionen zu verhindern.
| Name | FormBook-Malware |
| Bedrohungsart | Trojaner, Passwort stehlender Virus, Banking-Malware, Spyware. |
| Erkennungsnamen | Avast (Win32: DangerousSig [Trj]), BitDefender (Trojan.GenericKD.31824150), ESET-NOD32 (eine Variante von Win32 / Injector.EENG), Kaspersky (Trojan-Spy.Win32.Noon.ackv), vollständige Liste ( VirusTotal ) |
| Symptome | Trojaner sollen den Computer des Opfers heimlich infiltrieren und schweigen. Daher sind auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar. |
| Verteilungsmethoden | Infizierte E-Mail-Anhänge, böswillige Online-Werbung, Social Engineering, Software-Risse. |
| Beschädigung | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, der Computer des Opfers wurde einem Botnetz hinzugefügt. |
| Entfernung von Malware (Windows) | Um mögliche Malware-Infektionen auszuschließen, scannen Sie Ihren Computer mit legitimer Antivirensoftware. Unsere Sicherheitsforscher empfehlen die Verwendung von Malwarebytes. |
FormBook hat Ähnlichkeiten mit einer Reihe anderer Malware-Infektionen wie z Adwind . Die meisten werden von verschiedenen Cyberkriminellen entwickelt und haben leicht unterschiedliche Funktionen. Im Allgemeinen sind sie jedoch mehr oder weniger identisch. Diese Viren zeichnen normalerweise Benutzersysteminformationen auf, öffnen Hintertüren für andere Malware mit hohem Risiko, um das System zu infiltrieren, missbrauchen Systemressourcen, um Kryptowährung abzubauen, oder führen andere unerwünschte Prozesse aus (z. B. Botnet). Das Vorhandensein dieser Viren kann verschiedene Probleme verursachen, einschließlich (aber nicht beschränkt auf) Systembeschädigung, Hardwareschäden, Dateiverlust und Datenschutzprobleme (z. B. Identitätsdiebstahl).
Wie wurde FormBook auf meinem Computer installiert?
Wie oben erwähnt, wird FormBook unter Verwendung von Spam-E-Mails beworben, die Nachrichten enthalten, die sich auf verschiedene Geschäftsfelder beziehen (z. B. Engineering). Diese Nachrichten beschreiben kurz den Inhalt böswilliger Anhänge (z. B. PDF-Datei, MS Office-Dokument oder ähnliches) und ermutigen Benutzer, diese zu öffnen. Durch das Öffnen werden jedoch Skripts ausgeführt, mit denen Malware heimlich heruntergeladen und installiert wird. Diese Verteilungsmethode ist bei Ransomware-Entwicklern sehr beliebt. Viele reguläre Benutzer (insbesondere diejenigen, die wenig über Cybersicherheit wissen) werden häufig dazu verleitet, solche Anhänge herunterzuladen und zu öffnen.
Wie vermeide ich die Installation von Malware?
Die Hauptgründe für Computerinfektionen sind mangelndes Wissen und nachlässiges Verhalten. Wenn Sie Infektionen verhindern möchten, seien Sie beim Surfen im Internet sehr vorsichtig. Wir empfehlen Ihnen dringend, vor dem Öffnen von E-Mail-Anhängen zweimal nachzudenken. Stellen Sie sicher, dass diese von vertrauenswürdigen / erkennbaren Adressen gesendet werden und relevant sind. Nachrichten, die über verdächtige E-Mail-Adressen eingehen, sollten sofort ohne Lesen gelöscht werden. Spam-E-Mails sind nicht die einzige Möglichkeit, Malware zu verbreiten. Seien Sie daher beim Herunterladen / Installieren von Software vorsichtig. Laden Sie Anwendungen nur aus offiziellen Quellen über direkte Download-Links herunter. Kriminelle monetarisieren Downloader / Installer von Drittanbietern, indem sie betrügerische Apps vermehren. Daher sollten diese Tools nicht verwendet werden. Analysieren Sie während des Herunterladens / Installierens jeden Schritt sorgfältig (insbesondere die Einstellungen für 'Benutzerdefiniert / Erweitert') und deaktivieren Sie alle zusätzlich enthaltenen Programme. Wir empfehlen außerdem, die installierten Anwendungen auf dem neuesten Stand zu halten und erneut eine legitime Antiviren- / Antispyware-Suite zu verwenden. Beachten Sie jedoch, dass Kriminelle Malware über gefälschte Updater verbreiten. Verwenden Sie daher nur implementierte Update-Funktionen. Wie bei Download- / Installationstools sollten niemals Updater von Drittanbietern verwendet werden. Der Schlüssel zur Computersicherheit ist Vorsicht.
Eine weitere Variante der Spam-E-Mail-Verteilung von FormBook:
Liste der Aktionen von FormBook, die über den C & C-Server ausgelöst werden können:
- Löschen Sie Browser-Cookies
- Sammeln Sie Passwörter und erstellen Sie einen Screenshot
- Datei herunterladen und ausführen
- Laden Sie das ZIP-Archiv herunter und entpacken Sie es
- Starten Sie einen Befehl über ShellExecute
- System neu starten
- Entfernen Sie den Bot vom Host-System
- System herunterfahren
- Aktualisieren Sie den Bot auf dem Hostsystem
Update 18. Mai 2020 - Der Ausbruch des Coronavirus (COVID-19) hat die Cyberwelt erheblich beeinflusst. Cyberkriminelle nutzen die Situation und versuchen, Malware auf verschiedene Weise zu verbreiten. Eine der beliebtesten Methoden sind Spam-E-Mails. Sie senden Hunderttausende von Coronavirus-bezogenen E-Mails mit bösartigen Anhängen, um eine Vielzahl von Malware zu verbreiten, und FormBook ist keine Ausnahme. Weitere Informationen zu diesen Spam-E-Mails finden Sie in unserer ' Coronavirus E-Mail-Virus 'Artikel.
Eine weitere Spam-E-Mail, mit der der FormBook-Virus über eine angehängte schädliche DMG-Datei verbreitet wird:
Text präsentiert in:
Betrifft: ZAHLUNG
Lieber Herr,
Bitte finden Sie die beigefügte Zahlung für unsere Bestellung per Überweisung als Referenz.
Bitte geben Sie uns die Versanddetails an.
Danke.
Beenden Sie den Code page_fault_in_nonpaged_area
Freundliche Grüße,Sales & Accounting Manager
- -
WTL Italia SRL
Via San Piero, 94
56031 Bientina (PI)
Telefon 0587 755355
Update 26. Oktober 2020 - Cyberkriminelle haben kürzlich FormBook-Malware umbenannt, die jetzt XLoader heißt. Die gesamte Malware bleibt gleich, nur der Name, der in Cyber-Kriminalforen beim Verkauf dieser Malware verwendet wird, hat sich geändert.
Screenshot einer weiteren Spam-E-Mail, die zur Verbreitung von FormBook-Malware verwendet wird (der Anhang ist ein .r00-Archiv, das eine schädliche ausführbare Datei enthält):
Text präsentiert in:
Betreff: Versandbuchung
Lieber Herr,
Bitte bestätigen Sie die Lieferung des beigefügten.
Freundliche Grüße
Mahmud Reaz
Hauptversammlung (Kundendienst)Baro Bhuiyan, Wohnung Nr. 4C, Haus Nr. 3B, Straße Nr. 49, Gulshan-2, Dhaka-1212, Bangladesch.
Tel.: (88-02) 9861143/8823081/9880116/811294 Fax: (88-02) 9895141
Zelle: +88 017 6666 5233
E-Mail: csv-canada@crownlogisticsltd.com, / reaz-crown@accesstel.net
Web: www.crownlogisticsltd.com
Mitglied von: BAFFA / FIATA / WCA-FAMILIE / CGLN / AWS / F-CUBE / WSA / GFK
WCA ID # 49329
Beispiel eines böswilligen MS Excel-Dokuments zur Verbreitung des FormBook-Trojaners:
Ein weiteres Beispiel für eine Spam-E-Mail zur Verbreitung von FormBook-Malware:
Text präsentiert in:
Betreff: 30% Vorauszahlungsbenachrichtigung
Guten Morgen,Im Anhang finden Sie eine Kopie der Überweisung für die Zahlung von 30%.
Hoffe die Lieferung ist pünktlich.
Danke.
Davide FusettiWarum wird Microsoft Store nicht geöffnet?Adriatica SpA
Telefon +39 0426 -
Fax +39 0426 -
k-fert.it - E-Mail: info@k-fert.it
Denken Sie vor dem Drucken dieser E-Mail an die Umgebung.
Beachten:
Diese E-Mail und alle dazugehörigen Anhänge können Informationen enthalten, die vertraulich und / oder durch Rechte an geistigem Eigentum geschützt sind und ausschließlich für die oben genannten Empfänger bestimmt sind. Jede Verwendung der hierin enthaltenen Informationen durch andere Personen als die bezeichneten Empfänger ist untersagt. Obwohl wir versuchen, E-Mails und Anhänge auf Viren zu durchsuchen, garantiert dies nicht, dass beide virenfrei sind, und wir übernehmen keine Haftung für Schäden, die durch Viren entstehen.
Sofortige automatische Entfernung von Malware: Das manuelle Entfernen von Bedrohungen kann ein langwieriger und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse erfordert. Malwarebytes ist ein professionelles Tool zum automatischen Entfernen von Malware, das empfohlen wird, um Malware zu entfernen. Laden Sie es herunter, indem Sie auf die Schaltfläche unten klicken:
▼ HERUNTERLADEN Malwarebytes Durch das Herunterladen der auf dieser Website aufgeführten Software stimmen Sie unserer zu Datenschutz-Bestimmungen und Nutzungsbedingungen . Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.
Schnellmenü:
- Was ist FormBook?
- SCHRITT 1. Manuelles Entfernen von FormBook-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entferne ich Malware manuell?
Das manuelle Entfernen von Malware ist eine komplizierte Aufgabe. In der Regel ist es besser, Antiviren- oder Anti-Malware-Programme dies automatisch tun zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung Malwarebytes für Windows . Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer des Benutzers ausgeführt wird:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mithilfe des Task-Managers, und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit den folgenden Schritten fortfahren:
Laden Sie ein Programm namens herunter Autoruns . Dieses Programm zeigt Autostart-Anwendungen, Registrierungs- und Dateisystemspeicherorte an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü Windows Advanced Option angezeigt wird, und wählen Sie dann in der Liste den abgesicherten Modus mit Netzwerk aus.
Video, das zeigt, wie Windows 7 im abgesicherten Modus mit Netzwerk gestartet wird:
Windows 8-Benutzer : Windows 8 starten ist abgesicherter Modus mit Netzwerk - Gehen Sie zum Windows 8-Startbildschirm und geben Sie Erweitert ein. Wählen Sie in den Suchergebnissen Einstellungen aus. Klicken Sie auf Erweiterte Startoptionen. Wählen Sie im geöffneten Fenster 'Allgemeine PC-Einstellungen' die Option Erweiterter Start aus. Klicken Sie auf die Schaltfläche 'Jetzt neu starten'. Ihr Computer wird nun im Menü 'Erweiterte Startoptionen' neu gestartet. Klicken Sie auf die Schaltfläche 'Fehlerbehebung' und dann auf die Schaltfläche 'Erweiterte Optionen'. Klicken Sie im erweiterten Optionsbildschirm auf 'Starteinstellungen'. Klicken Sie auf die Schaltfläche 'Neustart'. Ihr PC wird im Bildschirm Starteinstellungen neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.
Video, das zeigt, wie Windows 8 im abgesicherten Modus mit Netzwerk gestartet wird:
Windows 10-Benutzer : Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf 'Neu starten', während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster 'Option auswählen' auf 'Fehlerbehebung' und anschließend auf 'Erweiterte Optionen'. Wählen Sie im Menü 'Erweiterte Optionen' die Option 'Starteinstellungen' und klicken Sie auf die Schaltfläche 'Neustart'. Im folgenden Fenster sollten Sie auf Ihrer Tastatur auf die Schaltfläche 'F5' klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.
Video, das zeigt, wie Windows 10 im abgesicherten Modus mit Netzwerk gestartet wird:
Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf 'Optionen' und deaktivieren Sie die Optionen 'Leere Speicherorte ausblenden' und 'Windows-Einträge ausblenden'. Klicken Sie nach diesem Vorgang auf das Symbol 'Aktualisieren'.
Was bedeutet, dass DNS nicht reagiert?
Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.
Sie sollten den vollständigen Pfad und Namen aufschreiben. Beachten Sie, dass einige Malware ihre Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf den Namen und wählen Sie 'Löschen'.
Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Sicher sein zu Aktivieren Sie versteckte Dateien und Ordner bevor Sie fortfahren. Wenn Sie die Datei der Malware finden, entfernen Sie sie unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte dazu beitragen, Malware von Ihrem Computer zu entfernen. Beachten Sie, dass für die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erforderlich sind. Es wird empfohlen, die Entfernung von Malware Antiviren- und Anti-Malware-Programmen zu überlassen. Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, eine Infektion zu vermeiden, die danach versucht, Malware zu entfernen. Um Ihren Computer sicher zu halten, müssen Sie die neuesten Betriebssystemupdates installieren und Antivirensoftware verwenden.
Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit zu scannen Malwarebytes für Windows .
![Erweiterte ScreenSnapshot Adware [Aktualisiert]](https://vskgamingservers.com/img/removal-guides/17/advanced-screensnapshot-adware.png)
