Instrukcje usuwania malware GootBot
Napisany przez Tomasa Meskauskasa,
Jakim malware jest GootBot?
GootBot to nowy wariant malware GootLoader. Służy jako narzędzie ruchu bocznego. Ten szkodliwy program jest niezwykle lekki i kładzie nacisk na ukrywanie się. Zasadniczo GootBot jest wdrażany na późniejszych etapach szeroko zakrojonych ataków, podczas których oprogramowanie to przemieszcza się poprzecznie przez sieć, aby ułatwić dalsze infekcje.
Na podstawie motywów biznesowych wykorzystywanych w technikach zatruwania wyszukiwarki wykorzystywanych w rozsyłaniu GootBota, oczywiste jest, że to złośliwe oprogramowanie atakuje duże podmioty.
Przegląd malware GootBot
Zaobserwowane infekcje GootBot rozpoczęły się od przeszukania przez ofiarę ukierunkowanego zapytania i otrzymania szkodliwego wyniku. Ma to na celu doprowadzenie ich do zainfekowanej witryny udającej forum, na którym znajduje się rzekomo powiązany plik w archiwum. Zawiera plik JavaScript, który uruchamia pierwszy etap infekcji.
Atak rozpoczyna się od GootLoadera, który wprowadza do systemu GootBota. Jak wspomniano we wstępie, GootBot jest narzędziem umożliwiającym boczne poruszanie się po sieci.
To malware wykorzystuje kilka technik, aby uniknąć wykrycia tak długo, jak to możliwe. Obejmuje zaciemniony kod i zakodowane na stałe serwery C&C (zarządzania i kontroli). Jednak GootBot rozprzestrzenia się w sieci za pomocą wielu implantów, z których każdy ma inną kontrolę działającą na zhakowanych witrynach WordPress. Pomysł polega na zmniejszeniu szans na wykrycie poprzez ograniczenie wykrywania szkodliwego ruchu pochodzącego z niezliczonych źródeł. Ostatecznym celem jest dotarcie do kontrolera domeny.
Ponadto GootBot angażuje się w zbieranie danych obejmujących ukierunkowane informacje, w tym wersję i architekturę systemu operacyjnego, nazwę hosta, nazwę użytkownika domeny, dane kontrolera domeny, adresy IP, uruchomione procesy itp.
Podobnie jak w przypadku wcześniej obserwowanych kampanii GootLoader, ostatnim ładunkiem infekcji, w tym GootBot w swoich łańcuchach, były Cobalt Strike, IcedID, SystemBC lub ransomware.
Zagrożenia związane z takimi infekcjami mogą się różnić w zależności od możliwości ostatecznego szkodliwego ładunku i sposobu działania atakujących.
Ogólnie rzecz biorąc, zagrożenia obejmują zmniejszoną wydajność lub awarię systemu, poważne problemy z prywatnością, utratę danych, straty finansowe i kradzież tożsamości. Zagrożenia te mogą jednak mieć większe znaczenie, gdy zostaną wykorzystane przeciwko celom o wysokiej wrażliwości (takim jak te zapewniające podstawowe usługi).
Nazwa | Wirus GootBot |
Typ zagrożenia | Trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące. |
Nazwy wykrycia | Avast (JS:Dropper-AAFB [Trj]), Combo Cleaner (Trojan.GenericKD.69583909), ESET-NOD32 (JS/Agent.PVS), Kaspersky (HEUR:Trojan-Downloader.Script.Generic), Microsoft (Trojan:Script/Malgent!MSR), Pełna lista wykrycia (VirusTotal) |
Ładunek | Cobalt Strike, IcedID, SystemBC, ransomware-type programs, etc. |
Objawy | Trojany zostały zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i zachowywać się cicho, w związku z czym na zainfekowanym urządzeniu nie są wyraźnie widoczne żadne szczególne objawy. |
Metody dystrybucji | Zainfekowane załączniki do e-maila, złośliwe reklamy online, socjotechnika, narzędzia „łamania” zabezpieczeń oprogramowania. |
Zniszczenie | Kradzież haseł i danych bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Ogólne informacje o malware
Złośliwe oprogramowanie to szeroki termin obejmujący szeroką gamę programów zaprojektowanych w złośliwych celach. To oprogramowanie może wykonywać niezwykle specyficzne zadania lub być bardzo wszechstronne.
Niezależnie jednak od sposobu działania programów objętych tą klasyfikacją – ich obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszelkie zagrożenia należy usunąć natychmiast po wykryciu.
Przebadaliśmy tysiące próbek złośliwego oprogramowania, a LPEClient, SIGNBT, StripedFly, GoPIX, Lumar i BlazeStealer to tylko niektóre z naszych najnowszych artykułów na ten temat.
Jak GootBot dostało się na mój komputer?
Znane łańcuchy infekcji obejmujące GootBota pochodzą ze złośliwych witryn, do których ofiary są kierowane poprzez zatrute wyniki wyszukiwania. Ta implementacja technik zatruwania SEO jest ukierunkowana. Złośliwe witryny są prezentowane jako najwyższe wyniki, gdy użytkownik wprowadzi zapytanie związane z działalnością gospodarczą, takie jak umowy centrujące, formularze prawne itp.
Po wybraniu szkodliwego wyniku ofiara zostaje przekierowana na stronę prezentowaną jako legalne forum. W nim przechowywany jest plik rzekomo odnoszący się do początkowego zapytania wyszukiwania. Archiwum zawiera plik JavaScript, który uruchamia łańcuch infekcji GootLoader, który później obejmuje GootBota, a którego kulminacją jest ostateczny ładunek (taki jak ransomware).
Warto zauważyć, że do rozsyłania GootBota można wykorzystać zarówno różne formaty plików, jak i metody. W dystrybucji złośliwego oprogramowania szczególnie rozpowszechnione są techniki phishingu i socjotechniki. Malware często ukrywa się pod postacią zwykłych programów/plików multimedialnych lub jest do nich dołączone. Są one dostępne w różnych formatach, np. archiwów (ZIP, RAR itp.), plików wykonywalnych (.exe, .run itp.), dokumentów (PDF, Microsoft Office, Microsoft OneNote itp.), JavaScript itd.
Do najpowszechniej stosowanych technik dystrybucji zaliczają się: złośliwe reklamy, pobrania metodą drive-by (potajemne/oszukańcze), złośliwe załączniki/linki w wiadomościach spamowych (np. e-mailach, wiadomościach prywatnych/bezpośrednich, SMS-ach itp.), oszustwa internetowe, podejrzane kanały pobierania (np. witryny z bezpłatnym oprogramowaniem i stron trzecich, sieci udostępniania peer-to-peer itp.), nielegalne narzędzia do aktywacji oprogramowania („łamania" zabezpieczeń oprogramowania) oraz fałszywe aktualizacje.
Niektóre złośliwe programy mogą nawet samodzielnie rozsyłać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. dysków flash USB, zewnętrznych dysków twardych itp.).
Jak uniknąć instalacji malware?
Zachowaj czujność podczas przeglądania sieci, ponieważ fałszywe i złośliwe treści online zwykle wydają się autentyczne i nieszkodliwe. Zalecamy ostrożność w przypadku przychodzących e-maili i innych wiadomości. Nie należy otwierać załączników ani linków znalezionych w podejrzanych/nieistotnych wiadomościach, ponieważ mogą one spowodować infekcję.
Ponadto wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych źródeł. Kolejnym zaleceniem jest aktywowanie i aktualizacja programów przy użyciu legalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego renomowanego programu antywirusowego. Tego oprogramowania należy używać do regularnego skanowania systemu i usuwania wykrytych zagrożeń. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne złośliwe oprogramowanie.
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest GootBot?
- KROK 1. Manualne usuwanie malware GootBot.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.
Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware GootBot. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może powodować malware GootBot?
Zagrożenia stwarzane przez infekcję zależą od funkcjonalności szkodliwego oprogramowania i celów cyberprzestępców. GootBot jest używany w rozległych łańcuchach ataków, których kulminacją były infekcje Cobalt Strike, IcedID, SystemBC i ransomware Dlatego obecność oprogramowania takiego jak GootBot na urządzeniach może prowadzić do zmniejszenia wydajności lub awarii systemu, utraty danych, poważnych problemów związanych z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania GootBot?
Motywacją większości ataków malware jest zysk finansowy. Jednak złośliwe oprogramowanie może być również wykorzystywane do zabawiania atakujących, przeprowadzania osobistej zemsty, zakłócania procesów (np. witryn, usług, firm itp.), a nawet przeprowadzania ataków na tle politycznym/geopolitycznym.
Jak złośliwe oprogramowanie GootBot przeniknęło do mojego komputera?
Odnotowano rozsyłanie się GootBota za pośrednictwem imitujących forum złośliwych stron internetowych, promowanych przy użyciu ukierunkowanych technik zatruwania SEO. Nie są jednak wykluczone inne metody dystrybucji.
Do najczęściej stosowanych technik należą: pobrania metodą drive-by, e-maile/wiadomości spamowe, oszustwa internetowe, złośliwe reklamy, niewiarygodne źródła pobierania (np. witryny z freeware i bezpłatnym hostingiem plików, sieci udostępniania P2P itp.), narzędzia nielegalnej aktywacji oprogramowania („łamania" zabezieczeń) i fałszywe aktualizacje. Ponadto niektóre złośliwe programy mogą samodzielnie rozsyłać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner jest przeznaczony do skanowania komputerów i usuwania wszelkiego rodzaju zagrożeń. Potrafi wykryć i usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że ponieważ malware wysokiej klasy zwykle ukrywa się głęboko w systemach, niezbędne jest wykonanie pełnego skanowania systemu.
▼ Pokaż dyskusję