TrickBot Trojan Virus

So entfernen Sie TrickBot Trojan Virus - Anweisungen zum Entfernen von Viren (aktualisiert)



Anleitung zum Entfernen von TrickBot-Viren

Was ist TrickBot?

TrickBot ist eine Malware vom Typ Trojaner, mit der die privaten Daten der Benutzer gestohlen werden sollen. Untersuchungen zeigen, dass Entwickler TrickBot in den meisten Fällen mithilfe von Spam-E-Mails verbreiten. Es kann jedoch auch mithilfe gefälschter Adobe Flash Player-Updates verbreitet werden. Dieser Virus wurde erstmals Ende 2016 identifiziert und richtet sich an verschiedene Finanzinstitute, Banken und Kreditkartenanbieter (für weitere Informationen Klicke hier ). Ende 2017 wurde Cryptomining sehr beliebt. Aus diesem Grund wurde TrickBot aktualisiert und zielt nun auch auf Cryptowallets ab. Außerdem kann sich TrickBot weiter ausbreiten und so viele Computer wie möglich infizieren.

TrickBot malware





Diese Malware entführt im Wesentlichen Webbrowser und ändert die von ihnen angezeigten Websites. Die Websites werden so geändert, dass eingegebene Anmeldungen und Kennwörter aufgezeichnet und an einen von Cyberkriminellen kontrollierten Remote-Server gesendet werden. Dies ist ein wichtiges Problem in Bezug auf die Privatsphäre der Benutzer. Durch den Diebstahl von Anmeldedaten und Passwörtern für Kryptowährungsbrieftaschen, PayPal, Bankkonten und andere persönliche Konten verursachen Cyberkriminelle ernsthafte Probleme und überweisen Geld ohne Zustimmung, was zu finanziellen Verlusten führt. Neuere Versionen von TrickBot können den Computerbildschirm des Opfers sperren. Cyberkriminelle können diese Funktion verwenden, um Menschen zu zwingen, ein Lösegeld zu zahlen, damit sie wieder auf ihre Computer zugreifen können. Dieser Virus kann auch verschiedene Anwendungen (wie WinSCP, Microsoft Outlook, Filezilla, Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer) entführen und gespeicherte Kennwörter stehlen, Daten automatisch ausfüllen und eine Reihe anderer Informationstypen. Es wurde entwickelt, um diese Daten mit einem implementierten Modul namens ' pwgrab '. Neben dem Diebstahl von Anmeldeinformationen zeichnet TrickBot auch Informationen zum Surfen im Internet (z. B. Verlauf, Cookies usw.) sowie das System selbst (CPU, Betriebssystem, laufende Prozesse usw.) auf. Um Daten aus Browsern zu stehlen, wird ein Cookie-Grabbing-Modul verwendet. Dieses Modul wird zum Stehlen verwendet Webbrowser-Cookies die Cyberkriminellen helfen, ein besseres Profil jedes Opfers zu erstellen und den Angriff besser zu optimieren. Neuere Versionen von TrickBot können auch PIN-Codes von Personen stehlen, die Dienste von Verizon Wireless, T-Mobile und Sprint nutzen. Mit dieser Funktion können Cyberkriminelle die Telefonnummern des Opfers kontrollieren. Um dies zu erreichen, ändert TrickBot den Webinhalt der besuchten Websites (wie Verizon Wireless) mithilfe neuer dynamischer Webinjects. Es kann verschiedene Felder hinzufügen oder entfernen, Texte ändern usw., je nachdem, was Cyberkriminelle erreichen möchten. Es kann auch verwendet werden, um Zugriff auf zuvor infizierte Netzwerke (Bots) zu erhalten, und ermöglicht anderen Bedrohungsakteuren, das Netzwerk weiter zu infiltrieren und ihre Nutzdaten zu löschen. Beachten Sie, dass sich dieser Virus nach der Infektion selbst aktualisieren kann. Mit anderen Worten, jedes Opfer (wenn natürlich eine Internetverbindung besteht) verfügt über die neueste Version von TrickBot, unabhängig davon, wann diese Malware das System zum ersten Mal infiltriert hat. Diese Malware sollte sofort beseitigt werden. TrickBot ist jedoch dafür berüchtigt, sich zu verstecken. Bei der Erstinspektion ist es praktisch unmöglich festzustellen, ob diese Malware vorhanden ist. Die Möglichkeiten zur Vermeidung von Erkennungen haben erheblich zugenommen. Außerdem kann es Windows Defender deaktivieren. Glücklicherweise können die meisten legitimen Antivirensuiten TrickBot erkennen und entfernen. Wenn Sie kürzlich verdächtige E-Mail-Anhänge heruntergeladen / geöffnet oder Adobe Flash Player-Aktualisierungstools von Drittanbietern verwendet haben, sollten Sie sofort eine seriöse Antivirensoftware verwenden, um das gesamte System zu scannen und alle aufgeführten Bedrohungen zu beseitigen. Überprüfen Sie außerdem die Liste der installierten Anwendungen / Browser-Plug-Ins und deinstallieren Sie verdächtige Einträge (gefälschte Updater enthalten möglicherweise auch potenziell unerwünschte Programme vom Typ Adware).

Bedrohungsübersicht:
Name TrickBot malware
Bedrohungsart Trojaner, Passwort-Diebstahl-Virus, Banking-Malware, Spyware
Erkennungsnamen Avast (Win32:Malware-gen), BitDefender (Trojan.Agent.CWSV), ESET-NOD32 (Win32/TrickBot.AJ), Kaspersky (Trojan.Win32.Mansabo.awr), Full List ( VirusTotal )
Symptome Trojaner sollen den Computer des Opfers heimlich infiltrieren und schweigen, sodass auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar sind.
Verteilungsmethoden Infizierte E-Mail-Anhänge, böswillige Online-Werbung, Social Engineering, Software-Risse.
Beschädigung Gestohlene Bankdaten, Passwörter, Identitätsdiebstahl, Computer des Opfers, der einem Botnetz hinzugefügt wurde.
Entfernung von Malware (Windows)

Scannen Sie Ihren Computer mit legitimer Antivirensoftware, um mögliche Malware-Infektionen auszuschließen. Unsere Sicherheitsforscher empfehlen die Verwendung von Malwarebytes.
▼ Laden Sie Malwarebytes herunter
Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.



TrickBot hat viele Gemeinsamkeiten mit Adwind , Pony , FormBook und eine Reihe anderer Trojaner. Obwohl diese Viren auf unterschiedliche Weise funktionieren, ist ihr Zweck identisch - das Sammeln persönlicher Informationen. Malware wie TrickBot wird nur veröffentlicht, um Einnahmen zu generieren - Entwickler stehlen buchstäblich das Geld anderer Benutzer. Potenziell unerwünschte Programme sollen Entwicklern auch dabei helfen, passive Einnahmen zu generieren - die meisten liefern aufdringliche Werbung (über das Werbemodell 'Pay Per Click' [PPC]), verursachen unerwünschte Weiterleitungen (Werbung für zweifelhafte Websites) und sammeln Daten (z. B. IP-Adressen) , besuchte Websites, besuchte Seiten, Suchanfragen usw.) PUPs bieten bekanntermaßen auch verschiedene „nützliche Funktionen“. Diese Behauptungen sind jedoch lediglich Versuche, den Eindruck von Legitimität zu erwecken - sie liefern keinen wirklichen Wert für reguläre Benutzer.

Wie hat TrickBot meinen Computer infiziert?

Wie oben erwähnt, wird TrickBot mithilfe von Spam-E-Mails und gefälschten Adobe Flash Player-Updatern beworben. Spam-E-Mails enthalten verschiedene schädliche Anhänge (z. B. PDF-Dateien, MS Office-Dokumente usw.). Durch Öffnen dieser Anhänge führen Benutzer Skripts aus, mit denen Viren wie TrickBot heimlich heruntergeladen und installiert werden, während gefälschte Updater das System infizieren, indem sie veraltete Softwarefehler / -fehler ausnutzen oder einfach Malware / PUPs herunterladen und installieren anstatt Updates. Die Hauptgründe für Computerinfektionen sind im Wesentlichen mangelndes Wissen und nachlässiges Verhalten.

Wie vermeide ich die Installation von Malware?

Seien Sie beim Surfen im Internet sehr vorsichtig, um Computerinfektionen zu vermeiden. Überlegen Sie zweimal, bevor Sie E-Mail-Anhänge öffnen. Wenn Sie den Verdacht haben, dass eine E-Mail irrelevant ist und von einer verdächtigen / nicht erkennbaren E-Mail-Adresse gesendet wird, löschen Sie sie sofort und öffnen Sie auf keinen Fall Anhänge. Beachten Sie, dass Cyberkriminelle verschiedene Taktiken anwenden, um diese E-Mails als legitim erscheinen zu lassen - sie imitieren Bankbenachrichtigungen, Stellenangebote usw. Wenn Sie unerwartete / verdächtige E-Mails erhalten, löschen Sie diese daher sofort. Denken Sie wie beim Aktualisieren von Software daran, dass Kriminelle Malware über gefälschte Updater verbreiten. Daher sollte die Software nur mit implementierten Funktionen oder Tools aktualisiert werden, die vom offiziellen Entwickler bereitgestellt werden. Die gleiche Regel gilt für das Herunterladen / Installieren von Software. Kriminelle monetarisieren Downloader / Installateure von Drittanbietern, indem sie PUPs fördern ('bündeln'). Daher sollte Software nur von offiziellen Quellen über direkte Download-Links heruntergeladen werden. Deaktivieren Sie beim Herunterladen alle zusätzlich enthaltenen Programme. Wenn Sie dies nicht können, brechen Sie den gesamten Vorgang ab. Der Schlüssel zur Computersicherheit ist Vorsicht. Wenn Ihr Computer bereits mit TrickBot infiziert ist, empfehlen wir, einen Scan mit durchzuführen Malwarebytes für Windows um infiltrierte Malware automatisch zu beseitigen.

Update 13. September 2019 - Cyberkriminelle verwenden seit kurzem eine interessante Technik, um TrickBot-Trojaner zu verbreiten. Sie verwenden E-Mail-Spam-Kampagnen, um ein schädliches Microsoft Word-Dokument zu verbreiten. Der schwierige Teil ist, dass der Inhalt dieses Dokuments JavaScript-Code ist - er enthält Zehntausende von JavaScript-Codezeilen. Um sie zu verbergen, ändern Cyberkriminelle die Textfarbe in Weiß. Da der Hintergrund ebenfalls weiß ist, wird der Text unsichtbar, wodurch unaufmerksame Benutzer glauben, das Dokument sei leer. Nach dem Öffnen führt das Dokument einen Makrobefehl aus, der den Inhalt in eine lokale Datei extrahiert und schließlich den gesamten JavaScript-Code (der TrickBot in das System einfügt) ausführt. Nun ist es erwähnenswert, dass, obwohl es Tausende von Codezeilen gibt, nur ein kleiner Teil tatsächlich verwendet wird. Cyberkriminelle fügen einfach viele Codezeilen ein, um es Malware-Forschern zu erschweren, den Code zu analysieren.

Screenshot eines schädlichen MS Word-Dokuments mit JavaScript-Code (beachten Sie die unterstrichenen 'unsichtbaren' Wörter am unteren Rand des Dokuments):

TrickBot-Trojaner, der MS Word-Dokument verbreitet

Update 25. November 2019 - Der TrickBot-Trojaner wurde kürzlich aktualisiert und enthält jetzt eine neue Funktion, mit der Cyberkriminelle private OpenSSH-Schlüssel sowie OpenVPN-Kennwörter und -Konfigurationsdateien stehlen können. Derzeit ist die Datenexfiltrationsfunktion von TrickBot jedoch noch nicht vollständig entwickelt, sodass diese gestohlenen Informationen nirgendwohin gesendet werden. Daher kann man davon ausgehen, dass Entwickler diese Funktion lediglich testen. Auf die eine oder andere Weise wird das Problem wahrscheinlich irgendwann behoben und die Daten werden tatsächlich an den Command & Control (C & C) -Server gesendet.

Update 10. Dezember 2019 - Cyberkriminelle haben kürzlich eine weitere E-Mail-Spam-Kampagne gestartet, mit der TrickBot-Trojaner verbreitet werden. In diesem Fall verwenden Gauner entführte .edu-E-Mail-Adressen, um irreführende E-Mails mit Benachrichtigungen / Details zu einer Art „Jahresbonus“ zu senden. Diese E-Mails ermutigen den Benutzer, ein Formular herunterzuladen, auszudrucken und zu unterschreiben. Es enthält auch Download-Links. Das Problem ist jedoch, dass diese Links schließlich zu einer böswilligen ausführbaren Datei führen, die TrickBot in das System fallen lässt. Um die Erkennung von E-Mail-Sicherheit zu vermeiden, setzen Gauner verschiedene legitime Dienste ein, um Spuren der böswilligen ausführbaren Datei zu verbergen. Nach dem Öffnen wird in der Datei eine Popup-Meldung angezeigt, in der Benutzer aufgefordert werden, Microsoft Word zu aktualisieren oder das Dokument entweder auf einem anderen Computer zu öffnen. Gleichzeitig löscht die ausführbare Datei eine Nutzlast - einen TrickBot-Trojaner. Weitere Informationen zu dieser Spam-Kampagne finden Sie unter Sergiu Gatlans Artikel .

Beispiel einer E-Mail aus dieser Spam-Kampagne:

Spam-Kampagne zur Verbreitung des TrickBot-Trojaners

Text in dieser E-Mail:

Betreff: Re: ******* Das jährliche Bonusdokument ist fertig

Guten Tag, bitte drucken Sie Ihr jährliches Bonus-W2-Formular aus und unterschreiben Sie es. Wir haben es von ******* *********** erhalten, verarbeitet und jetzt können Sie es ausdrucken und unterschreiben. Außerdem enthält es Ihre jährlichen Bonusinformationen für dieses Jahr.

Bitte senden Sie mir eine Kopie des unterschriebenen jährlichen Bonusformulars von Palo Alto Networks zurück oder senden Sie es an Ihre Personalabteilung zurück.


******* Personalberater auslagern
David Castle
Unternehmensbenachrichtigungssystem

Update 14. Januar 2020 - Die Entwickler des TrickBot-Trojaners haben kürzlich ein Post-Exploitation-Tool namens PowerTrick entwickelt. Der Zweck dieses Tools besteht darin, TrickBot (und andere Malware) in alle Computer einzuschleusen, die mit demselben Netzwerk verbunden sind, mit dem der infizierte Host verbunden ist. PowerTrick infiziert Systeme über die Reverse Shell - es führt eine Reihe von PowerShell-Befehlen aus, mit denen bestimmte schädliche Software (z. B. TrickBot Anchor Malware, More_Eggs JavaScript-Hintertür) in die Systeme heruntergeladen und installiert wird. Weitere Informationen finden Sie in Der Artikel von Bleeping Computer von Lawrence Abrams .

Update 17. Januar 2020 - Cyberkriminelle haben ein weiteres Update des TrickBot-Trojaners veröffentlicht. Es wurde mit einer Funktion implementiert, die es ermöglicht, die Windows-Benutzerkontensteuerung (User Account Control) zu umgehen und die schädliche ausführbare Datei mit Administratorrechten auszuführen, ohne den Benutzer dazu aufzufordern und um eine Erlaubnis zu bitten. Je nach infiltriertem System (Windows 7 oder Windows 10) verwendet TrickBot verschiedene Methoden, um die Windows-Benutzerkontensteuerung zu umgehen. Weitere Informationen finden Sie in Der Artikel von Bleeping Computer von Lawrence Abrams .

Update 27. Januar 2020 - Crooks hat eine weitere aktualisierte Version des TrickBot-Trojaners veröffentlicht, mit der jetzt Datenbanken aus Windows Active Directory (AD) gestohlen werden können. Um AD-Datenbanken zu stehlen, die auf kompromittierten Windows-Domänencontrollern gespeichert sind, missbraucht TrickBot den Befehl 'Von Medien installieren' (ifm), mit dem eine gesamte Datenbank (sowie einige Registrierungsstrukturen direkt in der Datenbank gespeichert werden können) % TEMP% Mappe. Diese Daten werden dann komprimiert und auf einen Remote-Server hochgeladen, der von den Cyberkriminellen kontrolliert wird. Eine ausführliche Erklärung finden Sie in Lawrence Abrams 'Artikel über Bleeping Computer .

Update 31. Januar 2020 - TrickBot verwendet eine weitere Technik, um die Windows-Benutzerkontensteuerung (User Account Control) zu umgehen und ohne Zustimmung des Benutzers auf Computern mit Windows 10-Betriebssystem mit Administratorrechten auszuführen. Um dies zu erreichen, missbraucht TrickBot jetzt Wsreset (wsreset.exe) - ein legitimes Microsoft-Tool zum Zurücksetzen des Windows Store-Cache. TrickBot zwingt das Wsreset-Tool, einen in der Windows-Registrierung gespeicherten Befehl auszuführen, der die schädliche ausführbare Datei ausführt, ohne die Meldung anzufordern, in der der Benutzer nach der Erlaubnis zum Ausführen der App gefragt wird. Auf diese Weise schleicht sich TrickBot in das System ein, ohne Aktionen auszuführen, die die Aufmerksamkeit des Benutzers auf sich ziehen würden. Weitere Informationen zu dieser TrickBot-Methode finden Sie in Arnold Osipovs Artikel über Morphisec .

Update 09. März 2020 - Cyberkriminelle nutzen den jüngsten Ausbruch des Coronavirus. Sie fangen ständig mit verschiedenen an E-Mail-Spam-Kampagnen die für Phishing- und Malware-Verteilungszwecke verwendet werden. Die Liste der verteilten Malware ist lang. Es enthält aber auch TrickBot. Hier ist ein Beispiel für eine auf Italien ausgerichtete Coronavirus-bezogene Spam-Kampagne, die TrickBot über böswillige Anhänge verbreitet - Microsoft Word-Dokument:

Coronavirus-Spam-E-Mail, die TrickBot verteilt

Text in dieser E-Mail:

Betreff: Coronavirus: Wichtige Informationen zu Vorsichtsmaßnahmen

Sehr geehrter Herr / Frau,

Aufgrund der dokumentierten Fälle von Coronavirus-Infektionen in Ihrer Region hat die Weltgesundheitsorganisation ein Dokument erstellt, das alle erforderlichen Vorsichtsmaßnahmen gegen Coronavirus-Infektionen enthält. Wir empfehlen Ihnen dringend, das dieser Nachricht beigefügte Dokument zu lesen!

Mit besten Empfehlungen,
Dr. Penelope Marchetti (Weltgesundheitsorganisation - Italien)

Update 18. März 2020 - TrickBot hat kürzlich ein weiteres Update erhalten. Eines seiner Module wurde entwickelt, um RDP-Verbindungen (Remote Desktop Protocol) auf von Cyberkriminellen ausgewählten Zielen zu erzwingen. Forschungsergebnisse zeigen, dass die meisten Opfer in den USA und in Hongkong leben. Es ist auch erwähnenswert, dass die meisten Opfer Opfer von Telekommunikationsdiensten sind. Da die genannten Angriffe selektiv sind, zielen Cyberkriminelle jeglicher Art häufig auf verschiedene Unternehmen und Betriebe ab. Das liegt daran, dass Opfer dieser Art viel saftiger sind - die Einnahmen, die mit einem einzelnen Heimanwender erzielt werden, sind viel niedriger als die eines großen Unternehmens.

Update 19. März 2020 - TrickBot- und Emotet-Entwickler nutzen die aktuelle Situation in Bezug auf Coronavirus, um die schädlichen Dateien weniger erkennbar zu machen. Was Cyberkriminelle tun, ist das Einfügen von Zitaten aus verschiedenen Reden über das Coronavirus (z. B. Zitieren von Donald Trump, CNN-Artikeln usw.) in die Beschreibung jeder schädlichen Datei. Auf diese Weise verringern Gauner die Wahrscheinlichkeit, dass Antivirensuiten Malware erkennen. Weitere Details finden Sie in Lawrence Abrams Artikel in Bleeping Computer .

Update 25. März 2020 - Die Entwickler des TrickBot-Trojaners haben kürzlich eine bösartige Android-Anwendung (von IBM X-Force-Forschern TrickMo genannt) veröffentlicht, mit der sie die Zwei-Faktor-Authentifizierung (2FA) umgehen können. In diesem Moment verkleidet sich die böswillige Anwendung als ' Avast Sicherheitskontrolle 'Bewerbung oder entweder' Sicherheitskontrolle der Deutschen Bank ' Nützlichkeit. Die Anwendung wurde entwickelt, um Daten zu sammeln, die es Cyberkriminellen letztendlich ermöglichen, 2FA zu umgehen und somit betrügerische Transaktionen durchzuführen. Dies bedeutet, dass die Installation einer solchen bösartigen App auf Ihrem Gerät zu enormen finanziellen Verlusten führen kann. Weitere Details finden Sie in Sergiou Gatlans Artikel in Bleeping Computer .

Beispiele für böswillige Microsoft Excel-Dokumente, mit denen TrickBot-Trojaner in das System eingefügt werden sollen:

Schädliches Microsoft Excel-Dokument (anna.guola-229713.xls) zur Verbreitung von TrickBot TrickBot-Trojaner-verbreitendes MS Excel-Dokument TrickBot-MS-Dokument zur Verbreitung von Trojanern (11.06.2020) TrickBot-Trojaner, der bösartiges MS Excel-Dokument verbreitet (wb4_1136.xls) MS Excel-Dokument zur Verbreitung des TrickBot-Trojaners (23.06.2020) MSB-Dokument zur Verbreitung von TrickBot-Trojanern (25.06.2020) TrickBot-Trojaner-verbreitendes MS Excel-Dokument (2021-01-18)

Beispiele für böswillige Microsoft Word-Dokumente, mit denen TrickBot-Trojaner in das System eingefügt werden sollen:

Schädliches MS Word-Dokument, das TrickBot in das System injiziert TrickBot-Trojaner, der bösartiges MS Word-Dokument verbreitet TrickBot-Trojaner-verbreitendes MS Word-Dokument MS Word-Dokument zur Verbreitung des TrickBot-Trojaners (14.08.2020) Schädliches MS Word-Dokument zum Einfügen von TrickBot-Malware in das System (25.08.2020) TrickBot-MSJ-Dokument zur Verbreitung von Trojanern (09.09.2020) Bösartiges MS Word-Dokument zur Verbreitung des TrickBot-Trojaners (21.10.2020) MSB-Dokument zur Verbreitung von TrickBot-Malware (27.10.2020) Schädliches MS Word-Dokument zur Verbreitung des TrickBot-Trojaners (10.11.2020 - Beispiel 1) Schädliches MS Word-Dokument zur Verbreitung des TrickBot-Trojaners (10.11.2020 - Beispiel 2)

Update 23. Juni 2020 - Es wurde beobachtet, dass TrickBot-Trojaner zur Bereitstellung der Datenverschlüsselung verwendet werden Ryuk Ransomware . Die Bereitstellung dieser Ransomware erfolgt nicht sofort und dauert in der Regel zwei Wochen nach der ersten TrickBot-Infektion (in einigen untersuchten Fällen wurde Ryuk nach mehreren Monaten injiziert). Während dieser Zeit untersucht der Trojaner das infizierte Netzwerk, um den potenziellen Wert des Ziels zu bewerten. Wenn sich herausstellt, dass die gesammelten Daten von Interesse und von erheblichem Wert sind, wird Ryuk Ransomware geladen. Weitere Informationen zu diesen Entwicklungen finden Sie in einem Artikel von Ionut Ilascu über Bleeping Computer .

Beispiel für eine weitere Spam-E-Mail, mit der der TrickBot-Trojaner über das angehängte MS Excel-Dokument verbreitet wird:

Spam-E-Mail zur Verbreitung des TrickBot-Trojaners über das angehängte MS Excel-Dokument

Text präsentiert in:

Betreff: James Russel von Fyffes Produce Ltd.

Hallo,

Bevor wir uns unterhalten haben, haben Sie mich gebeten, mich Ende Juli wieder zu melden.
Ich könnte 4 Wochen früher sein, aber mir wurde klar, dass es sich wirklich lohnt, einzuchecken.

Ich habe Preise zusammen mit Informationsblättern beigefügt, in denen das umfangreiche Angebot unserer eigenen Produkte und Lösungen für Ihre Forschung aufgeführt ist.
Ich erwarte bald eine Antwort von Ihrer Seite.

Danke,

James Russel
Fyffes Produce Ltd.

warum wird meine maus nicht angezeigt

Screenshot des angehängten MS Excel-Dokuments:

MS Excel-Dokument zum Einfügen von TrickBot-Malware in das System

Update 13. Juli 2020 - Die Entwickler von TrickBot haben versehentlich eine Testversion dieser Malware veröffentlicht, die die Opfer vor der Infektion warnt. Nach dem Infiltrieren des Systems öffnet dieses TrickBot-Beispiel einen Browser und stellt eine Verbindung zu einem lokalen Netzwerk her, um eine HTML-Datei zu öffnen, die eine Warnung an die Opfer über gestohlene Informationen liefert. Diese Meldung zeigt das Vorhandensein von TrickBot-Malware an.

Screenshot der Warnmeldung von TrickBot in localhost:

TrickBot malware warning note

Text präsentiert in:

Warnung
Diese Meldung wird angezeigt, weil das Programm Grabber einige Informationen aus Ihrem Browser gesammelt hat.
Wenn Sie nicht wissen, was passiert, ist es an der Zeit, sich Sorgen zu machen.
Bitte fragen Sie Ihren Systemadministrator nach Einzelheiten.

Update 16. September 2020 - TrickBot-Autoren haben jetzt ein neues TrickBot-Modell namens BazarLoader erstellt, das seine Nutzdaten in einen bestimmten Systemprozess einfügt (z. B. 'svchost', 'explorer.exe' oder 'cmd.exe'). Aus Gründen der Persistenz erstellt dieser Loader einen Registrierungsschlüssel in der Systemregistrierung. Wie die meisten Malware-Loader wird BazarLoader verwendet, um eine Malware-Nutzlast der zweiten Stufe auf den infizierten Computer zu laden. Es lädt schädliche Dateien von .bazar Domain C2-Servern herunter.

Ein weiteres Beispiel für eine Spam-E-Mail, mit der ein schädliches MS Excel-Dokument verbreitet wird, das TrickBot-Trojaner in das System injiziert:

Spam-E-Mail zur Verbreitung des TrickBot-Trojaners (31.12.2020)

Text präsentiert in:

Betreff: Personalaktualisierung ********

Guten Morgen,

Im Anhang finden Sie das Personal-Update für diese Woche.

Wir wünschen allen frohe Weihnachten!

Viel Spaß und bleiben Sie sicher!

Screenshot des angehängten Dokuments:

Schädliches MS Excel-Dokument zur Verbreitung des TrickBot-Trojaners (2020-12-31)

Sofortige automatische Entfernung von Malware: Das manuelle Entfernen von Bedrohungen kann ein langwieriger und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse erfordert. Malwarebytes ist ein professionelles Tool zum automatischen Entfernen von Malware, das empfohlen wird, um Malware zu entfernen. Laden Sie es herunter, indem Sie auf die Schaltfläche unten klicken:
▼ HERUNTERLADEN Malwarebytes Durch das Herunterladen der auf dieser Website aufgeführten Software stimmen Sie unseren zu Datenschutz-Bestimmungen und Nutzungsbedingungen . Um ein Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Malwarebytes erwerben. 14 Tage kostenlose Testversion verfügbar.

Schnellmenü:

Wie entferne ich Malware manuell?

Das manuelle Entfernen von Malware ist eine komplizierte Aufgabe. In der Regel ist es besser, Antiviren- oder Anti-Malware-Programme dies automatisch tun zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung Malwarebytes für Windows . Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer des Benutzers ausgeführt wird:

böswilliger Prozess läuft auf Benutzer

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mithilfe des Task-Managers, und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit den folgenden Schritten fortfahren:

Ihre Verbindung ist nicht sicher Firefox Google

manuelle Entfernung von Malware Schritt 1Laden Sie ein Programm namens herunter Autoruns . Dieses Programm zeigt Autostart-Anwendungen, Registrierungs- und Dateisystemspeicherorte an:

Screenshot der Autoruns-Anwendung

manuelle Entfernung von Malware Schritt 2Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü Windows Advanced Option angezeigt wird, und wählen Sie dann in der Liste den abgesicherten Modus mit Netzwerk aus.

Abgesicherten Modus mit Netzwerktreibern

Video, das zeigt, wie Windows 7 im abgesicherten Modus mit Netzwerk gestartet wird:

Windows 8-Benutzer : Windows 8 starten ist abgesicherter Modus mit Netzwerk - Gehen Sie zum Windows 8-Startbildschirm und geben Sie Erweitert ein. Wählen Sie in den Suchergebnissen Einstellungen aus. Klicken Sie auf Erweiterte Startoptionen. Wählen Sie im geöffneten Fenster 'Allgemeine PC-Einstellungen' die Option Erweiterter Start aus. Klicken Sie auf die Schaltfläche 'Jetzt neu starten'. Ihr Computer wird nun im Menü 'Erweiterte Startoptionen' neu gestartet. Klicken Sie auf die Schaltfläche 'Fehlerbehebung' und dann auf die Schaltfläche 'Erweiterte Optionen'. Klicken Sie im erweiterten Optionsbildschirm auf 'Starteinstellungen'. Klicken Sie auf die Schaltfläche 'Neustart'. Ihr PC wird im Bildschirm Starteinstellungen neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.

Windows 8-abgesicherter Modus mit Netzwerk

Video, das zeigt, wie Windows 8 im abgesicherten Modus mit Netzwerk gestartet wird:

Windows 10-Benutzer : Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf 'Neu starten', während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster 'Option auswählen' auf 'Fehlerbehebung' und anschließend auf 'Erweiterte Optionen'. Wählen Sie im Menü 'Erweiterte Optionen' die Option 'Starteinstellungen' und klicken Sie auf die Schaltfläche 'Neustart'. Im folgenden Fenster sollten Sie auf Ihrer Tastatur auf die Schaltfläche 'F5' klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Windows 10 abgesicherter Modus mit Netzwerk

Video, das zeigt, wie Windows 10 im abgesicherten Modus mit Netzwerk gestartet wird:

manuelle Entfernung von Malware Schritt 3Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

extrahieren Sie autoruns.zip und führen Sie autoruns.exe aus

manuelle Entfernung von Malware Schritt 4Klicken Sie in der Autoruns-Anwendung oben auf 'Optionen' und deaktivieren Sie die Optionen 'Leere Speicherorte ausblenden' und 'Windows-Einträge ausblenden'. Klicken Sie nach diesem Vorgang auf das Symbol 'Aktualisieren'.

Klicken

manuelle Entfernung von Malware Schritt 5Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen aufschreiben. Beachten Sie, dass einige Malware ihre Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf den Namen und wählen Sie 'Löschen'.

Suchen Sie die Malware-Datei, die Sie entfernen möchten

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Sicher sein zu Aktivieren Sie versteckte Dateien und Ordner bevor Sie fortfahren. Wenn Sie die Datei der Malware finden, entfernen Sie sie unbedingt.

Suchen nach Malware-Dateien auf Ihrem Computer

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte ausführen, können Sie Malware von Ihrem Computer entfernen. Beachten Sie, dass für das manuelle Entfernen von Bedrohungen fortgeschrittene Computerkenntnisse erforderlich sind. Es wird empfohlen, das Entfernen von Malware Antiviren- und Anti-Malware-Programmen zu überlassen. Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, eine Infektion zu vermeiden, die danach versucht, Malware zu entfernen. Um Ihren Computer sicher zu halten, müssen Sie die neuesten Betriebssystemupdates installieren und Antivirensoftware verwenden.

Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit zu scannen Malwarebytes für Windows .

Interessante Artikel

Microsoft Solitaire Collection kann nicht gestartet werden

Microsoft Solitaire Collection kann nicht gestartet werden

Microsoft Solitaire Collection kann nicht gestartet werden

Lyrics Ads

Lyrics Ads

So deinstallieren Sie Lyrics Ads - Anweisungen zum Entfernen von Viren

PC App Store Adware

PC App Store Adware

So deinstallieren Sie PC App Store Adware - Anweisungen zum Entfernen von Viren (aktualisiert)

So installieren Sie den Microsoft Edge-Browser auf Ubuntu- und Fedora-basierten Linux-Distributionen

So installieren Sie den Microsoft Edge-Browser auf Ubuntu- und Fedora-basierten Linux-Distributionen

Microsoft hat seinen Edge-Webbrowser überarbeitet. Jetzt bringt es den neuen Edge-Browser auch auf Desktop-Linux. Hier ist, was Sie wissen müssen.

Sie verwenden eine ältere Version von Chrome Scam

Sie verwenden eine ältere Version von Chrome Scam

So deinstallieren Sie eine ältere Version von Chrome Scam - Anweisungen zum Entfernen von Viren

So installieren und verwenden Sie FreeDOS auf VirtualBox

So installieren und verwenden Sie FreeDOS auf VirtualBox

Diese Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie FreeDOS auf VirtualBox unter Linux installieren.

Die Anwendung antwortet nicht

Die Anwendung antwortet nicht

Die Anwendung antwortet nicht

Wie finde ich deine IP-Adresse auf dem Mac heraus?

Wie finde ich deine IP-Adresse auf dem Mac heraus?

Wie finde ich deine IP-Adresse auf dem Mac heraus?

Die besten Desktop-Umgebungen für Linux (wir haben sie getestet, damit Sie es nicht müssen)

Die besten Desktop-Umgebungen für Linux (wir haben sie getestet, damit Sie es nicht müssen)

Eine Liste der besten Linux-Desktop-Umgebungen mit ihren Vor- und Nachteilen. Sehen Sie sich an, welche Desktop-Umgebung Sie verwenden sollten.

Vermeiden Sie Websites, auf denen die Meldung 'Ihr Mac OS ist möglicherweise infiziert' angezeigt wird

Vermeiden Sie Websites, auf denen die Meldung 'Ihr Mac OS ist möglicherweise infiziert' angezeigt wird

So werden Sie Ihr Mac OS möglicherweise infiziert POP-UP-Betrug (Mac) - Anleitung zum Entfernen von Viren (aktualisiert)


Kategorien