Instrukcje usuwania malware DotRunpeX
Napisany przez Tomasa Meskauskasa,
Jakim malware jests DotRunpeX?
DotRunpeX to nazwa malware typu wstrzykującego. Ten program jest napisany w .NET i istnieje od co najmniej 2022 roku. Istnieje wiele wariantów DotRunpeX. To malware ten stanowi integralną część łańcuchów infekcji i zazwyczaj jest dostarczane na drugim etapie procesu. Celem tego programu jest wstrzykiwanie dodatkowego malware do urządzeń.
Przegląd malware DotRunpeX
DotRunpeX jest zwykle wprowadzany w drugim etapie infekcji. Zaobserwowano różne programy ładujące pierwszego stopnia używane do dystrybucji DotRunpeX. Należy wspomnieć, że w dystrybucji wspomnianych ładowaczy odnotowano wiele skutecznych metod (więcej informacji poniżej).
Istnieje kilka wersji malware DotRunpeX, ale wszystkie wykorzystują wyrafinowane techniki unikania i antyanalizy. Najnowsze wersje są dobrze zamaskowane, mogą wykrywać, czy są uruchamiane na maszynie wirtualnej lub w środowisku piaskownicy i wyłączać oprogramowanie antywirusowe.
DotRunpeX jest przeznaczony do wstrzykiwania malware wysokiego ryzyka do zaatakowanych urządzeń. Większość znanych infekcji dostarczała RAT (trojany zdalnego dostępu), złośliwe oprogramowanie kradnące informacje oraz programy ładujące (pełna lista). Jednak ten program może potencjalnie zostać wykorzystany do rozsyłania innego złośliwego oprogramowania, takiego jak ransomware lub koparki kryptowalutowe.
Warto zauważyć, że twórcy malware często ulepszają swoje dzieła, a w chwili pisania tego tekstu – DotRunpeX wciąż był aktywnie rozwijany. W związku z tym przyszłe warianty tego programu mogą wykorzystywać inne techniki i/lub posiadać dodatkowe funkcje.
Zagrożenia stwarzane przez infekcję zależą od możliwości malware i celów atakujących. Ogólnie rzecz biorąc, infekcje złośliwym oprogramowaniem mogą spowodować zmniejszenie wydajności lub awarię systemu, utratę danych, uszkodzenie sprzętu, poważne problemy z prywatnością, straty finansowe i kradzież tożsamości.
Jeśli podejrzewasz, że twoje urządzenie jest zainfekowane DotRunpeX (lub innym złośliwym oprogramowaniem) – wykonaj pełne skanowanie systemu antywirusem i jak najszybciej usuń zagrożenia.
Nazwa | Wirus DotRunpeX |
Typ zagrożenia | Trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące. |
Nazwy wykrycia | Avast (Win64:RATX-gen [Trj]), Combo Cleaner (Gen:Variant.Cerbu.154794), ESET-NOD32 (wariant MSIL/Injector.WFC), Kaspersky (HEUR:Trojan.Win32.Generic), Microsoft (Backdoor:MSIL/AveMariaRAT.B!MTB), Pełna lista wykrycia (VirusTotal) |
Ładunek | (Pełna lista) |
Objawy | Trojany mają na celu potajemną infiltrację komputera ofiary i pozostawanie cichymi, dzięki czemu na zainfekowanum urządzeniu nie są wyraźnie widoczne żadne szczególne objawy. |
Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, socjotechnika, pirackie oprogramowanie. |
Zniszczenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady podobnego malware
Przeanalizowaliśmy niezliczone próbki złośliwego oprogramowania, a Beep, NeedleDropper, Truebot, Muldrop, NullMixer – to tylko przykłady ładowarek/wtryskiwaczy.
Złośliwe oprogramowanie może być niezwykle wszechstronne oraz mieć wiele funkcji i celów, od powodowania infekcji systemów łańcuchowych po kradzież danych. Jednak niezależnie od tego, jak działa malware – jego obecność w systemie zagraża bezpieczeństwu urządzenia i użytkownika. Dlatego wszystkie zagrożenia muszą zostać usunięte natychmiast po wykryciu.
Jak DotRunpeX dostało się na mój komputer?
Złośliwe oprogramowanie jest dystrybuowane przy użyciu technik phishingu i inżynierii społecznej, a DotRunpeX nie jest wyjątkiem. Zaobserwowano, że jest dystrybuowany za pośrednictwem wiadomości spamowych w postaci złośliwych załączników.
Aby rozwinąć temat spamu, te oszukańcze wiadomości mogą zawierać zakaźne pliki dołączone lub umieszczone w nich. Pliki mogą być dokumentami (np. Microsoft Office, Microsoft OneNote, PDF itp.), archiwami (ZIP, RAR itp.), plikami wykonywalnymi (.exe, .run itp.), JavaScript itd. Kiedy szkodliwy plik jest wykonywany, uruchamiany lub otwierany w inny sposób – uruchamiany jest łańcuch infekcji.
Ponadto zauważono, że DotRunpeX jest dystrybuowany za pośrednictwem fałszywych stron internetowych, które naśladują strony legalnego oprogramowania, w tym Galaxy Swapper, AnyDesk, OBS Studio, Onion Browser, Brave Wallet, MSI Afterburner, LastPass i inne.
Niektóre z tych złośliwych witryn były promowane przez nadużywanie reklam Google. Dlatego też, gdy ofiara szukała powiązanego zapytania – na samej górze wyników znajdowała się strona rozsyłająca malware. Alternatywnie, dostęp do złośliwych stron jest często uzyskiwany za pośrednictwem przekierowań spowodowanych błędnie wpisanymi adresami URL, witryn korzystających z nieuczciwych sieci reklamowych, spamowych powiadomień przeglądarki, natrętnych reklam i zainstalowanego adware.
DotRunpeX był również rozprzestrzeniany za pośrednictwem trojanizowanego oprogramowania przesłanego do GitLab. Wykryto również twórców malware zainfekowanych DotRunpeX.
Najbardziej rozpowszechnione metody dystrybucji obejmują: pobrania drive-by (podstępne/zwodnicze), oszustwa internetowe, złośliwe reklamy, spam, niewiarygodne kanały pobierania (np. witryny z bezpłatnym oprogramowaniem i bezpłatnym hostingiem plików, sieci udostępniania peer-to-peer itp.), narzędzia do nielegalnej aktywacji („pirackie") i fałszywe aktualizacje.
Ponadto niektóre złośliwe programy są zdolne do samodzielnego rozsyłania się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, dysków flash USB itp.).
Jak uniknąć instalacji malware?
Zdecydowanie zalecamy sprawdzanie oprogramowania i pobieranie go wyłącznie z oficjalnych/zweryfikowanych kanałów. Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ nielegalne narzędzia aktywacyjne („pirackie") i aktualizatory stron trzecich mogą zawierać malware.
Innym zaleceniem jest zachowanie ostrożności podczas przeglądania sieci, ponieważ oszukańcze i złośliwe treści online zwykle wydają się nieszkodliwe. Radzimy ostrożnie podchodzić do przychodzących e-maili, wiadomości bezpośrednich/błyskawicznych, SMS-ów i innych wiadomości. Załączniki i linki znalezione w podejrzanej/nieistotnej poczcie nie mogą być otwierane, ponieważ mogą być zaraźliwe.
Niezwykle ważne jest zainstalowanie i regularne aktualizowanie renomowanego programu antywirusowego. Oprogramowanie bezpieczeństwa musi być używane do przeprowadzania regularnych skanów systemu i usuwania wykrytych zagrożeń. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.
Pełna lista malware obserwowanego jako wstrzykiwane przez malware DotRunpeX:
- RedLine
- Raccoon Stealer V2
- Vidar
- Agent Tesla
- Formbook
- PrivateLoader
- Rhadamanthys
- Snake keylogger
- Remcos
- LokiBot
- LgoogLoader
- AsyncRAT
- NetWire
- Quasar
- BitRAT
- Ave Maria
- ArrowRAT
- XWorm
Zrzut ekranu e-maila spamowego używanego do dystrybucji malware e-maila DotRunpeX:
Tekst prezentowany w e-mailu spamowym:
Temat: Transaction Advice 502833272391_RPY - 29/10/2022
Nasabah Yang Terhormat,
Bersama ini kami lampirkan nota transaksi Trade OCBC NISP - 502833272391_RPY dari KALIEN untuk tanggal 29/10/2022.
Demikian kami sampaikan jika ada pertanyaan lebih lanjut, silakan menghubungi Tanya OCBC NISP 1500999 atau +62 21 26506300 (dari Luar Negeri) dan pilih Layanan Business Banking (menu 2). Besar harapan kami agar Bank OCBC NISP tetap menjadi pilihan utama Anda dalam melakukan transaksi perbankan.
Terima kasih atas kepercayaan Anda dalam menggunakan layanan kami.
PT Bank OCBC NISP, Tbk
*Email ini tidak memerlukan balasan
Dear Valued Customer,
Please find attached OCBC NISP Trade transaction receipt - 502833272391_RPY of Client dated 29/10/2022.
Please be informed and should there any questions, please contact Tanya OCBC NISP 1500999 or +62 21 26506300 (Overseas) and select Business Banking Services (Menu 2). We hope that OCBC NISP Bank are still your first choice in banking.
Thank you for your trust in using our service.
PT Bank OCBC NISP, Tbk
*This email does not require a reply
Zrzut ekranu Reklam Google promujących fałszywą witrynę fake Galaxy Swapper wykorzystywaną do dystrybucji malware DotRunpeX:
Zrzut ekranu fałszywej witryny Galaxy Swapper, która dystrybuowała malware DotRunpeX:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest DotRunpeX?
- KROK 1. Manualne usuwanie malware DotRunpeX.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.
Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware DotRunpeX. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?
Większość złośliwych programów można usunąć bez formatowania.
Jakie są największe problemy, jakie może powodować malware DotRunpeX?
Zagrożenia stwarzane przez infekcję zależą od funkcjonalności szkodliwego oprogramowania i sposobu działania cyberprzestępców. DotRunpeX jest przeznaczony do wstrzykiwania malware do urządzeń i zaobserwowano, że infekuje systemy złodziejami, trojanami RAT (trojanami zdalnego dostępu) i programami ładującymi (pełna lista). Ogólnie rzecz biorąc, infekcje malware mogą spowodować zmniejszenie wydajności systemu, utratę danych, poważne problemy z prywatnością, straty finansowe i kradzież tożsamości.
Jaki jest cel malware DotRunpeX?
W większości przypadków złośliwe oprogramowanie służy do generowania przychodów. Jednak cyberprzestępcy mogą również używać tego oprogramowania do zabawy, przeprowadzania osobistych wendet, zakłócania procesów (np. stron internetowych, usług, firm itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób malware DotRunpeX przeniknęło do mojego komputera?
Odnotowano, że DotRunpeX rozsyła się za pośrednictwem złośliwych załączników w poczcie spamowej, fałszywych stron internetowych udających legalne oprogramowanie (promowane za pośrednictwem Google Ads) oraz trojanów w GitLab.
Złośliwe oprogramowanie jest dystrybuowane głównie za pośrednictwem spamu, złośliwych reklam, oszustw internetowych, podejrzanych źródeł pobierania (np. stron z freeware i bezpłatnym hostingiem plików, sieci udostępniania P2P itp.), narzędzi nielegalnej aktywacji oprogramowania („pirackich") i fałszywych aktualizacji. Co więcej, niektóre złośliwe programy mogą samodzielnie rozsyłać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. dysków flash USB, zewnętrznych dysków twardych itp.).
Czy Combo Cleaner ochroni mnie przed malware?
Tak, Combo Cleaner jest przeznaczony do wykrywania i usuwania zagrożeń. Może usuwac praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Pamiętaj, że przeprowadzenie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane malware zwykle ukrywa się głęboko w systemach.
▼ Pokaż dyskusję