Instrukcje usuwania złośliwego oprogramowania CustomerLoader
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest CustomerLoader?
CustomerLoader to złośliwy program zaprojektowany do wywoływania infekcji łańcuchowych. Innymi słowy, ładuje on dodatkowe złośliwe komponenty i programy na zainfekowane urządzenia. Wszystkie znane infekcje CustomerLoader opierały się na trojanie iniekcyjnym DotRunpeX w celu infiltracji końcowego ładunku. W ten sposób rozprzestrzeniło się ponad czterdzieści rodzin złośliwego oprogramowania.
Społeczność cyberbezpieczeństwa po raz pierwszy dowiedziała się o istnieniu CustomerLoader w czerwcu 2023 roku; istnieją jednak pewne dowody sugerujące, że to złośliwe oprogramowanie jest aktywne od co najmniej maja tego samego roku.
Ze względu na różnorodność metod dystrybucji wdrożonych dla CustomerLoader, jest prawdopodobne, że twórcy programu oferują go jako usługę - w ten sposób złośliwe oprogramowanie jest wykorzystywane przez wielu aktorów zagrożeń.
Przegląd złośliwego oprogramowania CustomerLoader
CustomerLoader wykorzystuje kilka technik zapobiegających wykrywaniu i analizie. Program jest zamaskowany jako legalna aplikacja i zawiera zaciemniony kod. Wykorzystuje również taktyki, aby ominąć wykrywanie przez narzędzia antywirusowe.
Po udanej infiltracji, CustomerLoader ładuje DotRunpeX. To złośliwe oprogramowanie typu injector również wykorzystuje różne techniki zapobiegania wykrywaniu.
Jak wspomniano wcześniej, kampanie CustomerLoader (za pośrednictwem DotRunpeX) zaobserwowano w ponad czterdziestu rodzinach złośliwego oprogramowania, takich jak różne programy ładujące, RAT (trojany zdalnego dostępu), kradnące dane i ransomware.
Ostateczne ładunki obejmują (ale nie ograniczają się do): Amadey, LgoogLoader; Agent Tesla, AsyncRAT, BitRAT, NanoCore, njRat, Quasar, Remcos, Sectop, Warzone, XWorm; DarkCloud, Formbook, Kraken, Lumma, Raccoon, RedLine, Stealc, StormKitty, Vidar; warianty WannaCry, ransomware Tzw itp.
Podsumowując, infekcje złośliwym oprogramowaniem wysokiego ryzyka mogą skutkować obniżeniem wydajności lub awarią systemu, utratą danych, poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości.
Jeśli podejrzewasz, że twoje urządzenie jest zainfekowane CustomerLoader (lub jakimkolwiek innym złośliwym oprogramowaniem) - natychmiast wykonaj pełne skanowanie systemu za pomocą programu antywirusowego i usuń wszystkie zagrożenia.
| Nazwa | CustomerLoader virus |
| Typ zagrożenia | Trojan, Loader. |
| Nazwy wykryć | Avast (Win64:SpywareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.67808277), ESET-NOD32 (Wariant Generik.IGRGAQO), Kaspersky (HEUR:Trojan-Spy.MSIL.Stealer.gen), Microsoft (Trojan:Win32/Leonem), Pełna lista wykryć (VirusTotal) |
| Powiązane domeny i wykrycia VirusTotal | slackmessenger[.]pw, slackmessenger[.]site, telegra[.]ph |
| Objawy | Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, "pęknięcia" oprogramowania. |
| Szkody | Kradzież haseł i informacji bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania typu loader
Przebadaliśmy tysiące próbek złośliwego oprogramowania; Pikabot, Bumblebee i GootLoader to tylko kilka przykładów programów typu loader.
Złośliwe oprogramowanie może być bardzo wszechstronne i obejmować różne rodzaje funkcji. Zagrożenia stwarzane przez infekcję zależą od możliwości programu i celów cyberprzestępców. Niezależnie jednak od tego, w jaki sposób złośliwe oprogramowanie działa lub jest wykorzystywane - jego obecność w systemie zagraża bezpieczeństwu urządzenia i użytkownika. Dlatego wszystkie zagrożenia muszą zostać wyeliminowane natychmiast po wykryciu.
Jak CustomerLoader przeniknął do mojego komputera?
Jak wspomniano we wstępie, CustomerLoader jest najprawdopodobniej używany przez wielu aktorów zagrożeń. Zauważono, że ten program ładujący rozprzestrzenia się za pośrednictwem złośliwych stron internetowych, filmów na YouTube i wiadomości phishingowych. W większości znanych przypadków złośliwe oprogramowanie docierało do systemów jako plik wykonywalny w archiwum ZIP.
Aby rozwinąć obserwowane łańcuchy infekcji, ponad pięćdziesiąt domen zostało połączonych z CustomerLoader. Zwodnicze witryny twierdziły, że hostują różne gry wideo, wtyczki myszy, wtyczki VST (Virtual Studio Technology), oprogramowanie do konferencji / przesyłania wiadomości i inne treści. Po wybraniu przez ofiarę opcji "pobierz" na takiej stronie, była ona przekierowywana na złośliwą stronę zawierającą złośliwe oprogramowanie.
Na przykład, CustomerLoader był dystrybuowany za pośrednictwem fałszywej strony pobierania dla komunikatora internetowego Slack i oprogramowania do wideokonferencji; ostatecznym ładunkiem tej kampanii był kradnący RedLine.
Ponad sto skradzionych kont YouTube zostało wykorzystanych do promowania linków do pobierania pirackich programów. Po ich kliknięciu użytkownicy byli przekierowywani na strony instruujące, jak wyłączyć Microsoft Defender. Następnie pobierali chronione hasłem archiwum (rzekomo zawierające "złamane" oprogramowanie); ten łańcuch CustomerLoader kończył się infekcją Raccoon Stealer.
Wykryte wiadomości spamowe były przedstawiane jako kontynuacja nieistniejącej konwersacji. Listy zawierały obrazy dokumentu PDF, który ukrywał hiperłącze kierujące ofiary do pobrania archiwum ZIP zawierającego CustomerLoader.
Ze względu na mnogość cyberprzestępców wykorzystujących CustomerLoader, jest pewne, że program ten jest rozprzestrzeniany również przy użyciu innych metod.
Inżynieria społeczna jest standardem w dystrybucji złośliwego oprogramowania, podobnie jak prezentowanie złośliwych plików pod pozorem legalnego lub niewinnie wyglądającego oprogramowania/mediów. Oprócz plików wykonywalnych i archiwów, zakaźnymi plikami mogą być dokumenty (np. PDF, Microsoft Office, Microsoft OneNote itp.), JavaScript i inne.
Ogólnie rzecz biorąc, złośliwe oprogramowanie jest najczęściej rozprzestrzeniane za pośrednictwem złośliwych załączników i linków w spamie (np. wiadomości e-mail, PM / DM, SMS-y itp.), oszustw internetowych, złośliwych reklam, drive-by (ukradkowych / zwodniczych) pobrań, pirackich programów, nielegalnych narzędzi do aktywacji oprogramowania ("cracking") i fałszywych aktualizacji. Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy ostrożność podczas przeglądania, ponieważ fałszywa i złośliwa zawartość zwykle wygląda na legalną i nieszkodliwą. Ponadto należy ostrożnie traktować przychodzące e-maile i wiadomości. Odradzamy otwieranie załączników lub linków znalezionych w podejrzanych wiadomościach, ponieważ mogą one być złośliwe.
Innym zaleceniem jest pobieranie tylko z oficjalnych i zweryfikowanych kanałów. Równie ważne jest aktywowanie i aktualizowanie oprogramowania przy użyciu legalnych funkcji/narzędzi, ponieważ te pozyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Musimy podkreślić, że posiadanie zainstalowanego i aktualizowanego renomowanego programu antywirusowego ma kluczowe znaczenie dla bezpieczeństwa urządzenia/użytkownika. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.
Złośliwe oprogramowanie CustomerLoader promowane na fałszywej stronie pobierania oprogramowania Slack:
Złośliwe oprogramowanie CustomerLoader promowane na fałszywej stronie pobierania "złamanego" oprogramowania:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest CustomerLoader?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania CustomerLoader.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".
W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem CustomerLoader, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Większość złośliwych programów można usunąć bez konieczności formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie CustomerLoader?
Zagrożenia stwarzane przez program zależą od jego funkcjonalności i celów cyberprzestępców. W przypadku CustomerLoader dokładne zagrożenia są trudne do określenia, ponieważ program ten został zaprojektowany do infekowania systemów innym złośliwym oprogramowaniem i korzysta z niego wiele podmiotów. Ogólnie rzecz biorąc, infekcje wysokiej klasy mogą prowadzić do obniżenia wydajności lub awarii systemu, utraty danych, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania CustomerLoader?
W większości przypadków złośliwe oprogramowanie jest wykorzystywane w celach zarobkowych. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, prowadzenia osobistych zemst, zakłócania procesów (np. witryn, usług, firm itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie CustomerLoader przeniknęło do mojego komputera?
Zaobserwowano, że CustomerLoader jest rozpowszechniany za pośrednictwem wiadomości phishingowych, złośliwych stron internetowych i linków promowanych na skradzionych kontach YouTube. Jednak prawdopodobnie rozprzestrzenia się również przy użyciu innych metod.
Najczęściej stosowane techniki obejmują: pobieranie drive-by, oszustwa internetowe, wiadomości e-mail i wiadomości spamowe, złośliwe reklamy, wątpliwe źródła pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania P2P itp.), nielegalne narzędzia do aktywacji programów ("cracks") i fałszywe aktualizacje. Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner jest w stanie wykryć i wyeliminować praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy podkreślić, że ponieważ wysokiej klasy złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach - uruchomienie pełnego skanowania systemu jest kluczowe.
Znakomita!
▼ Pokaż dyskusję