Jak usunąć malware rozsyłane przez pliki malicious Microsoft OneNote
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Czym jest malware Microsoft OneNote?
Malware Microsoft OneNote — odnosi się do złośliwego oprogramowania rozpowszechnianego za pomocą strojanizowanych plików programu OneNote (.one). Dokumenty w legalnym formacie są zmieniane pod kątem rozsyłania malware poprzez osadzenie w nich zakaźnej zawartości, która podczas interakcji uruchamia proces pobierania/instalacji złośliwego oprogramowania.
Wzrost zakaźnych plików OneNote zbiega się z decyzją Microsoftu, aby automatycznie blokować makra w dokumentach MS Office. Przez wiele lat cyberprzestępcy polegali na złośliwych poleceniach makr w celu dystrybucji malware, jednak te nowe rozwiązania zamknęły tę drogę i prawdopodobnie spowodowały użycie plików OneNote.
Przegląd malware Microsoft OneNote
W większości przypadków złośliwe pliki programu OneNote są promowane za pośrednictwem kampanii spamowych. Pliki te są rozpowszechniane jako załączniki lub za pośrednictwem linków do pobrania.
W chwili pisania tego artykułu zaobserwowano rozsyłanie w ten sposób dwóch złośliwych programów - trojan bankowy Qakbot, którego celem są informacje związane z finansami i który może powodować infekcje łańcuchowe (tj. instalując dodatkowe trojany, ransomware, koparki kryptowalutowe etc.) oraz RedLine Stealer, który jest przeznaczony do wydobywania różnych wrażliwych danych z zainfekowanych urządzeń.
Zbadane kampanie wykorzystujące Qakbot atakowały ofiary losowo lub wykorzystywały skradzione konta e-mail i udzielały odpowiedzi wszystkim uczestnikom w istniejącym wątku e-mail. Same wiadomości spamowe były zwykle bezosobowe, a jedynymi danymi osobowymi były nazwisko odbiorcy zapisane w temacie niektórych e-maili.
Zbadane złośliwe pliki OneNote miały osadzoną aplikację HTML (plik HTA), która (po kliknięciu) wykorzystywała legalną aplikację do pobrania/zainstalowania malware (w tym przypadku Qakbot). Jednak prawie każdy typ pliku można osadzić w programie OneNote.
Formaty dokumentów często wymagają dodatkowej interakcji użytkownika w celu przyspieszenia łańcucha infekcji (tj. pobieranie/instalacja malware nie rozpoczyna się po otwarciu) i dotyczy to złośliwych plików programu OneNote.
Zainfekowane dokumenty Microsoft Office wymagają od użytkowników zezwolenia na ich makropolecenia (tj. włączenia edycji/zawartości), podczas gdy pliki OneNote wymagają od użytkowników kliknięcia osadzonej zawartości. Aby to osiągnąć, cyberprzestępcy zwykle uciekają się do inżynierii społecznej. Przykładowo przeanalizowane pliki programu OneNote zawierały fałszywe przyciski, takie jak „Otwórz", które rzekomo pobierają plik z pamięci w chmurze, lub „Double Click To View File" — sugerujące dostęp do dowolnej nieistniejącej zawartości.
Teoretycznie zakaźne pliki programu OneNote mogą służyć do rozsyłania wszelkiego rodzaju malware. Zagrożenia stwarzane przez infekcję zależą od możliwości programu i celów cyberprzestępców.
Ogólnie rzecz biorąc, infekcje malware mogą spowodować zmniejszenie wydajności lub awarię systemu, utratę danych, uszkodzenie sprzętu, poważne problemy z prywatnością, straty finansowe i kradzież tożsamości.
Jeśli uważasz, że twoje urządzenie jest już zainfekowane – zdecydowanie zalecamy skorzystanie z programu antywirusowego w celu wykonania pełnego skanu systemu i bezzwłocznego usunięcia wykrytych zagrożeń.
Nazwa | Wirus Microsoft OneNote |
Typ zagrożenia | Trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące. |
Nazwy wykrycia (rozsyłające Qakbot) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.GenericKD.65264047), ESET-NOD32 (wiele wykryć), Kaspersky (Trojan.Script.Agent.jr), Microsoft (TrojanDownloader:O97M/Qakbot.SS!MTB), Pełna lista wykrycia (VirusTotal) |
Nazwy wykrycia (rozsyłające RedLine) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.Generic.33194109), ESET-NOD32 (BAT/Agent.PLI), Kaspersky (Trojan.Script.Agent.jq), Microsoft (Trojan:Win32/Leonem), Pełna lista wykrycia (VirusTotal) |
Ładunek | Qakbot, RedLine |
Objawy | Trojany mają na celu potajemną infiltrację komputera ofiary i pozostawanie cichym, dzięki czemu na zainfekowanym urządzeniu nie są wyraźnie widoczne żadne szczególne objawy |
Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, socjotechnika. |
Zniszczenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Ogólne informacje o malware
Strojanizowane pliki programu OneNote mogą służyć do dystrybucji niemal każdego malware. Złośliwe oprogramowanie może mieć szeroki zakres funkcji i zastosowań.
Popularne typy to: narzędzia otwierania tylnych drzwi/ładowania programów (powodujące infekcje łańcuchowe), złodzieje (kradnące dane/zawartość), spyware (robiące zrzuty ekranu, rejestrujące naciśnięcia klawiszy, audio/wideo itp.), clippery (zastępujące dane ze schowka), ransomware (szyfrujące dane/blokujące ekran urządzenia w celu wyłudzenia okupu), koparki kryptowalutowe (wykorzystują zasoby systemowe do generowania kryptowaluty) itd.
Jednak niezależnie od tego, jak działa malware – jego obecność w systemie zagraża bezpieczeństwu urządzenia/użytkownika. Dlatego niezwykle ważne jest usunięcie wszystkich zagrożeń natychmiast po ich wykryciu.
Jak malware Microsoft OneNote dostało się na mój komputer?
Złośliwe pliki programu OneNote są najczęściej dystrybuowane za pośrednictwem e-mailowych kampanii spamowych, jako załączniki lub linki do pobierania. Te e-maile mogą być różnie zamaskowane, często jako wiadomości od legalnych firm, usługodawców, instytucji, władz i innych podmiotów.
Proces infekcji jest uruchamiany po kliknięciu zawartości osadzonej w pliku programu OneNote. Socjotechnika może być wykorzystana do oszukania użytkowników (np. prośby o kliknięcie przycisku w celu pobrania/otwarcia pliku itp.).
Jednak zakaźne pliki programu OneNote mogą być dystrybuowane przy użyciu innych metod. Użytkownicy mogą zostać nakłonieni do pobrania takiego pliku za pomocą technik zatruwania wyszukiwarek lub złośliwych reklam, w których złośliwy plik jest prezentowany jako zwykła zawartość. Różne oszustwa internetowe mogą być również wykorzystywane do rozsyłania zakaźnych plików programu OneNote.
Jak uniknąć instalacji malware?
Zdecydowanie zalecamy zachowanie ostrożności w przypadku przychodzących e-maili, wiadomości prywatnych/błyskawicznych, SMS-ów i innych wiadomości. Załączniki lub linki znalezione w podejrzanej/nieistotnej poczcie nie mogą być otwierane, ponieważ mogą być zaraźliwe.
Tę samą czujność należy objąć przeglądanie, ponieważ oszukańcze i złośliwe treści online zwykle wydają się uzasadnione i nieszkodliwe.
Zalecamy pobieranie produktów tylko z oficjalnych i zweryfikowanych kanałów. Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu funkcji/narzędzi zapewnionych przez prawdziwych programistów, ponieważ nielegalne narzędzia aktywacyjne („pirackie") i aktualizacje stron trzecich mogą zawierać malware.
Najważniejsze jest, aby mieć zainstalowany i zaktualizowany renomowany program antywirusowy. Oprogramowanie bezpieczeństwa musi być używane do przeprowadzania regularnych skanów systemu oraz usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.
Zrzut ekranu złośliwego pliku OneNote rozsyłającego złodzieja RedLine:
Zrzut ekranu e-maila spamowego dystrybuującego złośliwy plik OneNote:
Tekst prezentowany w tym e-mailu:
Subject: DOC Lester
Hello,
A llist of the required documents for a contract in one doc:-
Zrzut ekranu kolejnego e-maila spamowego dystrybuującego złośliwy plik OneNote:
Tekst prezentowany w tym e-mailu:
Temat: Automatic reply
Good morning,
Please look into this as a matter of urgency
My thanks and appreciation
Good day,
I will be out of the office for today.
Please contact - for assistance.
Have a great day
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest malware Microsoft OneNote?
- KROK 1. Manualne usuwanie malware Microsoft OneNote.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.
Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Jaki jest cel złośliwych plików OneNote?
Cyberprzestępcy mogą zainfekować legalny format pliku programu OneNote, aby zainfekować urządzenia ofiar malware. Te zakaźne pliki mogą być wykorzystywane do rozsyłania niemal każdego rodzaju złośliwego programu. Pobieranie/instalacja złośliwego oprogramowania jest uruchamiana, gdy ofiara wchodzi w interakcję z treścią osadzoną w pliku OneNote.
Jakie są największe problemy, jakie może powodować malware programu OneNote?
Zagrożenia stwarzane przez infekcję zależą od możliwości złośliwego oprogramowania i sposobu działania cyberprzestępców. Jak wspomniano w poprzedniej odpowiedzi, zakaźne pliki OneNote mogą być wykorzystywane do rozsyłania różnego rodzaju złośliwego oprogramowania, np. trojanów, ransomware, koparek kryptowalutowych itp. Ogólnie rzecz biorąc, infekcje wysokiego ryzyka mogą spowodować zmniejszenie wydajności lub awarię systemu, poważne problemy z prywatnością, utratę danych utratę, uszkodzenie sprzętu, straty finansowe i kradzież tożsamości.
Jak malware programu OneNote przeniknęło do mojego komputera?
Złośliwe pliki programu OneNote są rozsyłane głównie jako załączniki lub linki pobierania w wiadomościach spamowych. Jednak pliki te mogą być również rozpowszechniane przy użyciu technik zatruwania wyszukiwarek, złośliwych reklam, oszustw internetowych i innych.
Przeczytałem e-mail ze spamem, ale nie otworzyłem pliku programu OneNote. Czy mój komputer jest zainfekowany?
Nie, samo przeczytanie e-maila nie zainicjuje żadnych procesów pobierania/instalacji malware. Urządzenia są infekowane, gdy złośliwe załączniki lub linki znalezione w poczcie spamowej są otwierane/klikane i dotyczy to złośliwych plików programu OneNote.
Pobrałem i otworzyłem plik programu OneNote promowany przez spam. Czy mój komputer jest zainfekowany?
Złośliwe pliki programu OneNote zaczynają pobierać/instalować malware po kliknięciu osadzonej w nich zawartości (np. plików takich jak HTA, LNK, VBS itp.). Należy pamiętać, że pliki te często zawierają zwodnicze instrukcje mające na celu nakłonienie użytkowników do interakcji z treścią.
Czy Combo Cleaner ochroni mnie przed malware?
Tak, Combo Cleaner może skanować systemy i wykrywać oraz usuwać praktycznie każde znane infekcje złośliwym oprogramowaniem. Należy podkreślić, że przeprowadzenie pełnego skanowania systemu jest najważniejsze, ponieważ wyrafinowane szkodliwe programy zwykle ukrywają się głęboko w systemach.
▼ Pokaż dyskusję