Instrukcje usuwania malware ChromeLoader
Napisany przez Tomasa Meskauskasa,
Czym jest ChromeLoader?
ChromeLoader został najpierw przeanalizowany przez x3ph, a później nazwany przez badaczy G-Data jako program ładujący Choziosi. To malware jest przeznaczone do instalowania złośliwych rozszerzeń w przeglądarkach. Obecnie wykryto dwa różne warianty ChromeLoadera — jeden przeznaczony dla systemów operacyjnych Windows, a drugi dla systemów operacyjnych Mac.
Warto zauważyć, że to malware było aktywnie rozpowszechniane za pośrednictwem Twittera w formie kodów QR promujących pirackie oprogramowanie (głównie gry wideo) i media (filmy/telewizja).
Przegląd malware ChromeLoader
Jak wspomniano na początku, ChromeLoader jest przeznaczony do instalowania złośliwych rozszerzeń w przeglądarkach. Obserwowany łańcuch infekcji rozpoczął się od Tweetów (postów na Twitterze) reklamujących pirackie programy za pomocą kodów QR (przedstawionych w formacie memów), które nakłaniały ofiary do pobrania pliku ISO.
Badacze G-Data przeprowadzili dogłębną analizę tego modułu ładującego i złośliwego rozszerzenia. Ich badania wykazały, że plik ISO składa się z dwóch komponentów - "_meta.txt" i "downloader.exe", z których pierwszy zawiera zaszyfrowany skrypt PowerShell, a drugi służy do jego odszyfrowania.
Program PowerShell tworzy zadanie o nazwie "ChromeTask" (może się różnić), którego uruchamianie jest zaplanowane co dziesięć minut. Skrypt PowerShell pobiera również złośliwe rozszerzenie przeglądarki Google Chrome "archive.zip". Jednak ze względu na powtarzanie zadań – niektóre ofiary tego malware zgłosiły, że ich przeglądarki Chrome ciągle się zamykają (co jest przeoczeniem, które prawdopodobnie zachęca do szybszego wykrycia ChromeLoadera).
Warto zauważyć, że "downloader.exe" może wyświetlać użytkownikom alert informujący o niezgodności systemu operacyjnego z oprogramowaniem.
Analiza G-Data skupiła się na złośliwym rozszerzeniu przeglądarki, ponieważ nie zostało ono wcześniej dokładnie zbadane. Rozszerzenie Chrome jest mocno zaciemnione, co komplikuje analizę.
Ten program wykorzystuje techniki zapewniające trwałość, a w szczególności odmawia dostępu do listy rozszerzeń Google Chrome ("chrome://extensions/") przekierowując użytkowników do ustawień ogólnych ("chrome://settings") - uniemożliwiając im w ten sposób usunięcie złośliwego rozszerzenia.
Okazało się, że funkcje rozszerzenia Chrome to adware i porywacz przeglądarki. Innymi słowy, to malware ma na celu wyświetlanie zwodniczych/złośliwych reklam i zmianę ustawień przeglądarki w celu powodowania przekierowań do fałszywych wyszukiwarek (potencjalnie prowadzących do legalnych, takich jak Google, Yahoo, Bing etc.).
Korzystanie z PowerShell i rozległe zaciemnianie jest rzadkością w przypadku programów adware i porywaczy przeglądarki, ale jest standardem w przypadku programów kradnących informacje, programów szpiegujących i innego malware. Jest jednak prawdopodobne, że ChromeLoader jest nadal w fazie rozwoju i zostanie zaktualizowany o dodatkowe szkodliwe funkcje. Niezależnie od tego, ChromeLoader nadal stanowi poważne zagrożenie w swojej obecnej formie.
Badania przeprowadzone przez Colin Cowie wykazały, że wersja ChromeLoader dla komputerów Mac działa podobnie do wariantu dla systemu Windows (tj. wyświetla reklamy, powoduje przekierowania). Godne uwagi w tej wersji jest to, że może instalować złośliwe rozszerzenia zarówno w przeglądarkach Google Chrome, jak i Safari.
Jeśli podejrzewasz, że twoje urządzenie jest zainfekowane malware ChromeLoader, zdecydowanie zalecamy skorzystanie z programu antywirusowego, aby je bezzwłocznie usunąć.
Nazwa | Wirus ChromeLoader |
Typ zagrożenia | Niechciane reklamy, reklamy pop-up, niechciane przekierowania |
Nazwy wykrycia (ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.98155), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:MSIL/Tnega!mclg), Pełna lista wykrycia (VirusTotal) |
Nazwy wykrycia (EXE w ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.38585118), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:Win32/Tnega!ml), Pełna lista wykrycia (VirusTotal) |
Nazwy wykrycia (wariantu Mac) | Avast (MacOS:Agent-TJ [Trj]), Combo Cleaner (Adware.MAC.Chropex.B), GData (Adware.MAC.Chropex.B), Kaspersky (Not-a-virus:HEUR:AdWare.OSX.Agent.ag), Pełna lista wykrycia (VirusTotal) |
Objawy | Oglądanie reklam niepochodzących z przeglądanych witryn. Natrętne reklamy pop-up. Zmniejszona prędkość przeglądania internetu. Zmienione ustawienia przeglądarki internetowej. Użytkownicy są zmuszani do odwiedzania witryny porywacza i przeszukiwania internetu za pomocą jego wyszukiwarek. |
Metody dystrybucji | Zwodnicze reklamy pop-up, fałszywe twierdzenia na odwiedzanych witrynach, potencjalnie niechciane aplikacje (adware) |
Zniszczenie | Zmniejszona wydajność komputera, śledzenie przeglądarki - problemy z prywatnością, możliwe dodatkowe infekcje malware. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady adware i porywaczy przeglądarki
ChromeLoader ma funkcje oprogramowania obsługującego reklamy i porywacza przeglądarki. Zwykle programy objęte klasyfikacją adware/porywacza przeglądarki nie używają tak wyrafinowanych technik, jak ChromeLoader (co może oznaczać, że to malware ma mieć dodatkowe złośliwe funkcje, takie jak kradzież danych, szpiegowanie itp.).
To Go Web, Keep Secure Search, Tap togo to kilka przykładów zwykłych porywaczy przeglądarki, które przeanalizowaliśmy, a fałszywe rozszerzenie Google Translate, Files Download Now, Down Assist - adware.
Należy pamiętać, że niezależnie od tego, jak działa złośliwy program, jego obecność w systemie zagraża bezpieczeństwu urządzenia/użytkownika. Dlatego wszystkie zagrożenia muszą zostać usunięte natychmiast po wykryciu.
Jak ChromeLoader dostał się na mój komputer?
Jak wcześniej szczegółowo opisano, ChromeLoader był w szczególności rozsyłany za pośrednictwem tweetów promujących nielegalne produkty (tj. pirackie gry wideo, oprogramowanie do edycji, filmy, seriale itp.) za pomocą kodów QR, które mają na celu nakłonienie użytkowników do pobrania zainfekowanego pliku ISO.
Możliwe jest jednak, że malware ChromeLoader jest rozpowszechniane na innych platformach i potencjalnie również pod różnymi postaciami.
Złośliwe oprogramowanie jest powszechnie rozpowszechniane przy użyciu różnych technik, a często wykorzystywane są phishing i socjotechnika. Zawirusowane pliki mogą być archiwami, plikami wykonywalnymi, dokumentami PDF i Microsoft Office, JavaScript itp. Po otwarciu złośliwego pliku inicjowany jest łańcuch infekcji.
Najczęstsze metody rozsyłania malware obejmują: pobrania drive-by (ukryte i zwodnicze), e-maile/wiadomości spamowe, oszustwa internetowe, strony internetowe z bezpłatnym oprogramowaniem i pobierania stron trzecich, sieci udostępniania P2P (np. klienty Torrent, eMule itp.), nielegalne narzędzia do aktywacji programów („łamania" zabezpieczeń), fałszywe aktualizacje i złośliwe reklamy.
Jak uniknąć instalacji malware?
Zdecydowanie zalecamy zachowanie ostrożności podczas przeglądania sieci, ponieważ nielegalne i złośliwe treści wydają się nieszkodliwe. Dodatkowo zalecamy pobieranie produktów wyłącznie z oficjalnych i zweryfikowanych źródeł.
Równie ważne jest aktywowanie i aktualizowanie oprogramowania za pomocą funkcji/narzędzi zapewnionych przez prawdziwych programistów, ponieważ te nabyte od stron trzecich mogą zawierać malware.
Innym zaleceniem jest ostrożne podejście do poczty przychodzącej. Nie wolno otwierać załączników i linków znalezionych w podejrzanych/nieistotnych e-mailach i wiadomościach, ponieważ może to prowadzić do infekcji systemu.
Musimy podkreślić, jak ważne jest posiadanie zainstalowanego i aktualizowanego niezawodnego programu antywirusowego. Programy bezpieczeństwa muszą być używane do uruchamiania regularnych skanów systemu oraz usuwania zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.
Zrzut ekranu zawartości pliku ChromeLoader ISO:
Wiadomość z błędem wyświetlana, gdy otwierany jest plik ChromeLoader:
Szybkie menu:
- Czym jest ChromeLoader?
- KROK 1. Odinstalowanie aplikacji adware za pomocą Panelu sterowania.
- KROK 2. Usuwanie zwodniczych wtyczek z Google Chrome.
- KROK 3. Usuwanie rozszerzeń typu adware z Mozilla Firefox.
- KROK 4. Usuwanie złośliwych rozszerzeń z Safari.
- KROK 5. Usuwanie zwodniczych wtyczek z Microsoft Edge.
Usuwanie adware:
Użytkownicy Windows 10:
Kliknij prawym przyciskiem myszy w lewym dolnym rogu ekranu i w menu szybkiego dostępu wybierz Panel sterowania. W otwartym oknie wybierz Programy i funkcje.
Użytkownicy Windows 7:
Kliknij Start ("logo Windows" w lewym dolnym rogu pulpitu) i wybierz Panel sterowania. Zlokalizuj Programy i funkcje.
Użytkownicy macOS (OSX):
Kliknij Finder i w otwartym oknie wybierz Aplikacje. Przeciągnij aplikację z folderu Aplikacje do kosza (zlokalizowanego w Twoim Docku), a następnie kliknij prawym przyciskiem ikonę Kosza i wybierz Opróżnij kosz.
W oknie odinstalowywania programów poszukaj wszelkich ostatnio zainstalowanych i podejrzanych aplikacji, wybierz te wpisy i kliknij przycisk "Odinstaluj" lub "Usuń".
Po odinstalowaniu potencjalnie niechcianej aplikacji, przeskanuj swój komputer pod kątem wszelkich pozostawionych niepożądanych składników lub możliwych infekcji malware. Zalecane oprogramowanie usuwania malware.
Usuwanie adware z przeglądarek internetowych:
Film pokazujący, jak usunąć niechciane dodatki przeglądarki:
Usuwanie złośliwych rozszerzeń z Google Chrome:
Kliknij ikonę menu Chrome (w prawym górnym rogu Google Chrome), wybierz „Więcej narzędzi" i kliknij „Rozszerzenia". Zlokalizuj wszelkie ostatnio zainstalowane i podejrzane dodatki przeglądarki i usuń je.
Metoda opcjonalna:
Jeśli nadal masz problem z usunięciem wirus chromeloader, przywróć ustawienia swojej przeglądarki Google Chrome. Kliknij ikonę menu Chrome (w prawym górnym rogu Google Chrome) i wybierz Ustawienia. Przewiń w dół do dołu ekranu. Kliknij link Zaawansowane….
Po przewinięciu do dołu ekranu, kliknij przycisk Resetuj (Przywróć ustawienia do wartości domyślnych).
W otwartym oknie potwierdź, że chcesz przywrócić ustawienia Google Chrome do wartości domyślnych klikając przycisk Resetuj.
Usuwanie złośliwych wtyczek z Mozilla Firefox:
Kliknij menu Firefox (w prawym górnym rogu okna głównego), i wybierz „Dodatki". Kliknij „Rozszerzenia" i w otwartym oknie usuń wszelkie ostatnio zainstalowane wtyczki przeglądarki.
Metoda opcjonalna:
Użytkownicy komputerów, którzy mają problemy z usunięciem wirus chromeloader, mogą zresetować ustawienia Mozilla Firefox do domyślnych.
Otwórz Mozilla Firefox i w prawym górnym rogu okna głównego kliknij menu Firefox . W otworzonym menu kliknij na ikonę Otwórz Menu Pomoc.
Wybierz Informacje dotyczące rozwiązywania problemów.
W otwartym oknie kliknij na przycisk Reset Firefox.
W otwartym oknie potwierdź, że chcesz zresetować ustawienia Mozilla Firefox do domyślnych klikając przycisk Reset.
Usuwanie złośliwych rozszerzeń z Safari:
Upewnij się, że Twoja przeglądarka Safari jest aktywna, kliknij menu Safari i wybierz Preferencje....
W otwartym oknie preferencji wybierz zakładkę Rozszerzenia. Zlokalizuj wszelkie ostatnio zainstalowane podejrzane rozszerzenia i odinstaluj je.
W oknie preferencji wybierz zakładkę Ogólne i upewnij się, że Twoja strona domowa jest ustawiona na preferowany URL. Jeżeli jest zmieniona na porywacz przeglądarki, zmień to.
W oknie preferencji wybierz zakładkę Szukaj i upewnij się, że wybrana jest Twoja preferowana wyszukiwarka.
Metoda opcjonalna:
Upewnij się, że Twoja przeglądarka Safari jest aktywna i kliknij menu Safari. Z rozwijanego menu wybierz Wyczyść historię i dane witryn...
W otwartym oknie wybierz całą historię i kliknij przycisk wyczyść historię.
Usuwanie złośliwych rozszerzeń z Microsoft Edge:
Kliknij ikonę menu Edge (w prawym górnym rogu Microsoft Edge) i wybierz "Rozszerzenia". Znajdź wszelkie ostatnio zainstalowane podejrzane dodatki przeglądarki i usuń je.
Zmień ustawienia strony domowej i nowej zakładki:
Kliknij ikonę menu Edge (w prawym górnym rogu Microsoft Edge) i wybierz „Ustawienia". W sekcji "Po uruchomieniu" poszukaj nazwy porywacza przeglądarki i kliknij "Wyłącz".
Zmień swoją domyślną wyszukiwarkę internetową:
Aby zmienić swoją domyślną wyszukiwarkę w Microsoft Edge: Kliknij ikonę menu Edge (w prawym górnym rogu Microsoft Edge), wybierz "Prywatność i usługi", przewiń w dół strony i wybierz "Pasek adresu". W sekcji "Wyszukiwarki używane w pasku adresu" poszukaj nazwy niechcianej wyszukiwarki internetowej, a po jej zlokalizowaniu kliknij przycisk "Wyłącz" obok niej. Możesz też kliknąć "Zarządzanie wyszukiwarkami". W otwartym menu poszukaj niechcianej wyszukiwarki internetowej. Kliknij ikonę puzzli obok niej i wybierz "Wyłącz".
Metoda opcjonalna:
Jeśli nadal masz problemy z usunięciem wirus chromeloader, przywróć ustawienia przeglądarki Microsoft Edge. Kliknij ikonę menu Edge (w prawym górnym rogu Microsoft Edge) i wybierz Ustawienia.
W otwartym menu ustawień wybierz Przywróć ustawienia.
Wybierz Przywróć ustawienia do ich wartości domyślnych. W otwartym oknie potwierdź, że chcesz przywrócić ustawienia Microsoft Edge do domyślnych, klikając przycisk Przywróć.
- Jeśli to nie pomogło, postępuj zgodnie z tymi alternatywnymi instrukcjami wyjaśniającymi, jak przywrócić przeglądarkę Microsoft Edge..
Podsumowanie:
Porywacz przeglądarki to takiego typu adware, które zmienia ustawienia przeglądarki internetowej użytkownika poprzez zmianę strony domowej i domyślnej wyszukiwarki na pewną domyślną niechcianą stronę internetową. Najczęściej tego typu adware infiltruje system operacyjny użytkownika poprzez pobrania bezpłatnego oprogramowania. Jeśli twoje pobieranie jest zarządzane przez klienta pobierania, należy zrezygnować z instalacji reklamowanych pasków narzędzi lub aplikacji, które chcą zmienić twoją stronę domową i domyślną wyszukiwarkę internetową.
Pomoc usuwania:
Jeśli masz problemy podczas próby usunięcia wirus chromeloader ze swoich przeglądarek internetowych, powinieneś zwrócić się o pomoc na naszym forum usuwania malware.
Opublikuj komentarz:
Jeśli masz dodatkowe informacje na temat wirus chromeloader lub jego usunięcia, prosimy podziel się swoją wiedzą w sekcji komentarzy poniżej.
Źródło: https://www.pcrisk.com/removal-guides/23957-chromeloader-malware
Często zadawane pytania (FAQ)
Jaki jest cel malware ChromeLoader?
ChromeLoader jest przeznaczony do instalowania złośliwych rozszerzeń w przeglądarkach ofiar. W czasie badań rozszerzenie przeglądarki ChromeLoader wykazywało właściwości adware i porywacza przeglądarki. Innymi słowy, wyświetlało reklamy i zmieniało ustawienia przeglądarki, aby powodować przekierowania. Ze względu na dość skomplikowaną markę ChromeLoadera, możliwe jest, że ten złośliwy program zostanie zaktualizowany o bardziej szkodliwe funkcje (np. wydobywanie poufnych danych, zapisywanie informacji itp.).
Jakie zagrożenia stwarzają infekcje adware i porywaczy przeglądarki?
Porywacze przeglądarki zmieniają ustawienia przeglądarki (i mogą używać taktyk zapewniających sobie trwałość, aby uniemożliwić użytkownikom dostęp do nich/zmianę), aby powodować przekierowania do fałszywych wyszukiwarek. Przekierowania mogą wystąpić po otwarciu nowych kart/okien przeglądarki, wpisaniu zapytań w pasku adresu itp. Nielegalne wyszukiwarki zwykle zbierają informacje o swoich użytkownikach. Ponieważ te witryny rzadko są w stanie samodzielnie generować wyniki wyszukiwania, przekierowują one do legalnych (np. Google, Bing, Yahoo etc.).
Adware jest przeznaczone do wyświetlania reklam na odwiedzanych stronach internetowych i/lub innych interfejsach. Niektóre typy mogą również wymusić otwieranie witryn i zbieranie prywatnych danych. Wiadomo, że wyświetlane reklamy promują zwodnicze/złośliwe treści, a niektóre mogą potajemnie pobierać/instalować (po kliknięciu).
Dlatego obecność tych programów na urządzeniu może prowadzić do infekcji systemu, poważnych problemów prywatności, strat finansowych i kradzieży tożsamości.
Jak malware ChromeLoader przeniknęło do mojego komputera?
ChromeLoader było aktywnie rozsyłane poprzez posty na Twitterze promujące pirackie programy/media za pomocą kodów QR, które nakłaniają użytkowników do zainstalowania złośliwego pliku ISO. Ogólnie rzecz biorąc, malware rozsyła się głównie poprzez pobrania drive-by, oszustwa internetowe, e-maile i wiadomości spamowe, niewiarygodne źródła pobierania (np. nieoficjalne witryny i strony internetowe pobierania freeware, sieci wymiany peer-to-peer itp.), narzędzia nielegalnej aktywacji programów (pirackie), fałszywe aktualizacje i złośliwe reklamy.
Czy Combo Cleaner ochroni mnie przed malware?
Tak, Combo Cleaner może wykryć i usunąć prawie wszystkie znane infekcje malware. Jednak wykonanie pełnego skanowania systemu jest niezbędne, ponieważ wysokiej klasy złośliwe programy zwykle ukrywają się głęboko w systemie.
▼ Pokaż dyskusję