Instrukcje usuwania złośliwego oprogramowania typu backdoor Warmcookie
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest Warmcookie?
Warmcookie to nazwa złośliwego oprogramowania typu backdoor. Złośliwe programy w tej klasyfikacji są zaprojektowane tak, aby otwierać "tylne drzwi" do zainfekowanych systemów; celem jest spowodowanie dalszej infekcji (tj. pobranie/zainstalowanie dodatkowego złośliwego oprogramowania).
Warmcookie istnieje co najmniej od wiosny 2024 roku, a podejrzewane starsze wersje zostały wydane jeszcze wcześniej. W chwili pisania tego tekstu ten backdoor jest aktywnie rozprzestrzeniany za pośrednictwem ukierunkowanych kampanii spamowych e-mail.
Przegląd złośliwego oprogramowania Warmcookie
Możliwości Warmcookie nie są rozbudowane, co nie jest rzadkością w przypadku backdoorów, ponieważ ich celem jest służenie jako początkowy punkt wejścia do docelowej sieci. Warmcookie ma funkcje zapobiegające analizie, w tym anty-debugowanie i wykrywanie po uruchomieniu w środowiskach piaskownicy. Backdoor może eskalować swoje uprawnienia i zapewniać trwałość poprzez planowanie uruchamiania co dziesięć minut.
Po udanej infiltracji, w pierwszym etapie, Warmcookie zbiera informacje do identyfikacji zainfekowanego komputera - numer seryjny woluminu, domenę DNS, nazwę urządzenia i nazwę użytkownika. Zebrane dane są następnie wysyłane do serwera C&C (Command and Control) atakujących, który jest zakodowany na stałe w złośliwym oprogramowaniu.
W drugim etapie Warmcookie dąży do uzyskania dodatkowych informacji i zaczyna korzystać z dostępnych funkcji. Program szuka szczegółów procesora, adresu IP ofiary i listy zainstalowanego oprogramowania (w tym nazwy, wersji i daty instalacji).
Warmcookie może wykonywać polecenia na zainfekowanych systemach. Może odczytywać pliki, robić zrzuty ekranu i pobierać pliki na zainfekowane urządzenia. To ostatnie jest głównym celem Warmcookie, ponieważ w ten sposób powoduje dalsze infekcje.
Teoretycznie backdoory mogą przeniknąć do systemów niemal każdy rodzaj złośliwego oprogramowania; jednak w praktyce programy te mają tendencję do działania w ramach pewnych ograniczeń. Aby rozszerzyć złośliwe oprogramowanie, które może zostać zainstalowane w dalszej kolejności - infekcja może zakończyć się jakąś formą wirusa trojańskiego.
"Trojan" to ogólny termin obejmujący różne złośliwe programy, które obejmują (ale nie ograniczają się do): programy ładujące/pobierające, które instalują dodatkowe złośliwe oprogramowanie, iniektory, które wstrzykują złośliwy kod do procesów/programów, programy wykradające dane z systemów i aplikacji, programy szpiegujące, które rejestrują dane (np, ), grabbery, które pobierają pliki z urządzeń, keyloggery, które rejestrują naciśnięcia klawiszy, clippery, które zastępują zawartość schowka itp.
Ransomware to kolejne rozpowszechnione złośliwe oprogramowanie. To złośliwe oprogramowanie szyfruje pliki i/lub blokuje ekrany urządzeń w celu żądania okupu za odszyfrowanie/odzyskanie dostępu. Należy wspomnieć, że oprogramowanie ransomware wykorzystywane przeciwko podmiotom korporacyjnym często wykorzystuje taktykę podwójnego wymuszenia, w której poufne informacje są kradzione z urządzeń, a ofiary są zmuszane do spełnienia żądań okupu pod groźbą wycieku danych.
Warto również zauważyć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego potencjalne przyszłe warianty mogą być bardziej usprawnione lub mieć dodatkowe/różne możliwości.
Podsumowując, obecność oprogramowania takiego jak Warmcookie na urządzeniach może prowadzić do wielu infekcji systemu, utraty danych, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | Warmcookie virus |
| Typ zagrożenia | Trojan, backdoor |
| Nazwy wykrywania | Avast (Win64:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Midie.147193), ESET-NOD32 (Win64/Agent.DTJ), Kaspersky (HEUR:Trojan.Win64.Agent.gen), Microsoft (Trojan:Win64/Midie.GXZ!MTB), Pełna lista wykryć (VirusTotal) |
| Objawy | Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, "pęknięcia" oprogramowania. |
| Szkody | Kradzież haseł i informacji bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania typu backdoor
Pisaliśmy o tysiącach złośliwych programów; NICECURL, TAMECAT, MadMxShell, XRed, GoBear i SPICA to tylko niektóre z naszych artykułów na temat backdoorów.
Złośliwe oprogramowanie może być bardzo wszechstronne lub mieć niezwykle wąski cel. Jednak niezależnie od tego, jak działa złośliwy program - jego obecność na urządzeniu zagraża bezpieczeństwu systemu i użytkownika. Dlatego najważniejsze jest, aby wyeliminować wszystkie zagrożenia natychmiast po ich wykryciu.
Jak Warmcookie przeniknął do mojego komputera?
W czasie badań Warmcookie rozprzestrzeniał się za pośrednictwem ukierunkowanych wiadomości spamowych. Listy wykorzystywały przynęty związane z pracą i ofertami pracy. Podszywały się pod wiadomości od istniejących firm rekrutacyjnych i zwracały się do ofiar przy użyciu ich prawdziwych imion i nazwisk, a także wskazywały ich obecne miejsce zatrudnienia, stanowisko i podobne informacje.
Odbiorcy byli nakłaniani do kliknięcia linku w wiadomości e-mail, który rzekomo prowadził do wewnętrznego systemu, w którym mogli zapoznać się z ofertą pracy. Powodowało to przekierowanie na złośliwą stronę internetową, która prowadziła przez zainfekowaną witrynę (zwykle hostowaną w renomowanych domenach).
Strona docelowa była prezentowana jako kontynuacja początkowej przynęty rekrutacyjnej, a niektóre zawierały informacje związane z ofiarą i istotne dla niej. Strona ta zachęcała odwiedzającego do pobrania dokumentu (szczegółowo opisującego proponowane stanowisko), a aby to zrobić - proszono go o wypełnienie testu CAPTCHA.
Po jego ukończeniu ofiara pobierała zaciemniony plik JavaScript. Plik ten uruchamiał skrypt PowerShell przeznaczony do infekowania systemów za pomocą Warmcookie.
Obecnie kampanie te są aktywne i bardzo dobrze utrzymane. Spam jest dostarczany codziennie lub co tydzień; podobnie, strony internetowe w łańcuchu przekierowań i strony docelowe są aktualizowane prawie co tydzień, zmniejszając w ten sposób szanse na wykrycie, gdy reputacja strony wzrośnie.
Należy wspomnieć, że Warmcookie może być rozprzestrzeniany przy użyciu różnych przynęt, technik dystrybucji i łańcuchów infekcji.
Phishing i socjotechnika są kluczowe w dystrybucji złośliwego oprogramowania. Złośliwe programy są zazwyczaj ukryte lub dołączone do zwykłego oprogramowania/plików multimedialnych. Oprócz JavaScript, zainfekowane pliki mogą być dostarczane jako archiwa (ZIP, RAR itp.), pliki wykonywalne (.exe, .run itp.), dokumenty (Microsoft Office, Microsoft OneNote, PDF itp.) i inne formaty.
Najczęściej stosowane metody rozprzestrzeniania złośliwego oprogramowania obejmują: złośliwe załączniki/linki w spamie (np. e-maile, wiadomości DM/PM, SMS-y, posty w mediach społecznościowych/na forach itp.), pobieranie drive-by (ukradkowe/zwodnicze), podejrzane źródła pobierania (np, ), oszustwa internetowe, złośliwe reklamy, pirackie programy/media, nielegalne narzędzia do aktywacji oprogramowania ("cracki") i fałszywe aktualizacje.
Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zachowanie ostrożności w przypadku przychodzących wiadomości e-mail, DM/PM, SMS-ów i innych wiadomości. Nie wolno otwierać załączników ani linków w wątpliwych/nieistotnych wiadomościach, ponieważ mogą one być złośliwe. Innym zaleceniem jest zachowanie ostrożności podczas przeglądania, ponieważ fałszywe i niebezpieczne treści online zwykle wydają się autentyczne i nieszkodliwe.
Ponadto wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych kanałów. Zalecamy aktywowanie i aktualizowanie programów przy użyciu legalnych funkcji/narzędzi, ponieważ te pobrane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Dla bezpieczeństwa urządzenia/użytkownika niezbędne jest zainstalowanie i aktualizowanie niezawodnego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.
Wiadomość spamowa rozprzestrzeniająca złośliwe oprogramowanie Warmcookie (źródło obrazu - Elastic):
Tekst przedstawiony w tej wiadomości e-mail:
We're Interested
Your Next Step: A Potential Position
Hello,
We have an exciting opportunity to share with you - a new position available with one of our esteemed clients. Given your outstanding professional background, work experience at SPIRIANT and skills, we believe you could be an ideal fit for this role.
Please access our internal system via the link below to review the detailed job description and associated responsibilities thoroughly.
If the role aligns with your career objecties, we would be thrilled to set up a conversation at your earliest convenience to explore further.
View Position Details
Złośliwa strona internetowa (promowana za pośrednictwem spamu) rozpowszechniająca Warmcookie (źródło obrazu - Elastic):
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Warmcookie?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania Warmcookie.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
.
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":
.
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".
W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem Warmcookie, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie Warmcookie?
Zagrożenia stwarzane przez infekcję zależą od możliwości złośliwego oprogramowania i celów cyberprzestępców. Zagrożenia związane z Warmcookie są zróżnicowane, ponieważ program ten jest backdoorem - złośliwym oprogramowaniem zaprojektowanym do wywoływania infekcji łańcuchowych (tj. infiltracji dodatkowego złośliwego oprogramowania). Ogólnie rzecz biorąc, infekcje wysokiego ryzyka są związane z utratą danych, poważnymi kwestiami prywatności, stratami finansowymi i kradzieżą tożsamości.
Jaki jest cel złośliwego oprogramowania Warmcookie?
Złośliwe oprogramowanie jest wykorzystywane głównie w celach zarobkowych. Jednak cyberprzestępcy mogą również używać tego oprogramowania do rozrywki, realizacji osobistych urazów, zakłócania procesów (np. witryn, usług, firm itp.), angażowania się w haktywizm i przeprowadzania ataków motywowanych politycznie/geopolitycznie.
Jak złośliwe oprogramowanie Warmcookie przeniknęło do mojego komputera?
Zaobserwowano, że Warmcookie aktywnie rozprzestrzenia się za pośrednictwem ukierunkowanych kampanii spamowych e-mail. Oprócz spamu, inne powszechnie stosowane metody rozprzestrzeniania złośliwego oprogramowania obejmują pobieranie drive-by, oszustwa internetowe, złośliwe reklamy, podejrzane źródła pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania P2P itp.), pirackie treści, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje. Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner został zaprojektowany do skanowania komputerów i eliminowania wszystkich rodzajów zagrożeń. Potrafi wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Należy podkreślić, że uruchomienie pełnego skanowania systemu jest kluczowe, ponieważ wyrafinowane złośliwe oprogramowanie ma tendencję do ukrywania się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję