Jak wyeliminować złośliwe oprogramowanie WikiLoader z systemu operacyjnego
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest WikiLoader?
WikiLoader to wyrafinowane złośliwe oprogramowanie typu loader. Złośliwe programy z tej kategorii mają na celu powodowanie infekcji łańcuchowych, tj. pobieranie/instalowanie dodatkowego złośliwego oprogramowania.
WikiLoader istnieje od co najmniej grudnia 2022 r. i istnieje kilka wersji tego programu. Ten program ładujący został odnotowany w wielu kampaniach, z których większość była skierowana do różnych organizacji z siedzibą we Włoszech. Istnieją pewne dowody sugerujące, że WikiLoader może być oferowany na sprzedaż, ponieważ korzystało z niego kilku różnych aktorów. Zaobserwowano, że to złośliwe oprogramowanie jest rozpowszechniane w kampaniach spamowych na dużą skalę.
Przegląd złośliwego oprogramowania WikiLoader
Jak wspomniano we wstępie, istnieje kilka wariantów WikiLoadera. Ze względu na niedawne pojawienie się ostatniej wersji, jest prawdopodobne, że to złośliwe oprogramowanie typu loader jest nadal aktywnie rozwijane w momencie pisania tego tekstu.
WikiLoader wykorzystuje wiele technik, aby uniknąć wykrycia i skomplikować jego analizę. Niektóre z zastosowanych mechanizmów obejmują użycie silnego zaciemniania, zapętlania skryptów, wykrywania piaskownicy, usuwania artefaktów pobierania plików i tak dalej.
Inną techniką stosowaną przez to złośliwe oprogramowanie jest wysyłanie żądania HTTPS do Wikipedii i sprawdzanie, czy odpowiedź zawiera ciąg"The Free" (słowa znalezione na stronie głównej Wikipedii), dzięki czemu program dowiaduje się, czy system, do którego przeniknął, jest faktycznie podłączony do Internetu, czy też został uruchomiony na maszynie wirtualnej.
Jest to powód, dla którego nadano temu programowi ładującemu pseudonim (WikiLoader). Jednak to złośliwe oprogramowanie może wysyłać żądania do innych adresów URL w tym samym celu.
Infekcja dociera do urządzeń ofiar w wielu etapach, a jej ukończenie może zająć godzinę. W poprzednio zaobserwowanych infekcjach WikiLoader ostatecznym ładunkiem było złośliwe oprogramowanie wykradające informacje Ursnif. Należy wspomnieć, że ten program ładujący może być wykorzystywany do infiltracji innych rodzajów złośliwych programów do systemów.
Teoretycznie oprogramowanie zaprojektowane do wywoływania infekcji łańcuchowych może pobierać/instalować prawie każde złośliwe oprogramowanie (np. trojany, ransomware, koparki kryptowalut itp.). W rzeczywistości programy ładujące mają tendencję do działania w ramach określonych specyfikacji i ograniczeń.
Warto zauważyć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. W związku z tym potencjalne przyszłe wersje WikiLoader mogą mieć dodatkowe/różne funkcje lub funkcjonalności.
Podsumowując, złośliwe oprogramowanie, takie jak WikiLoader, może prowadzić do wielu infekcji systemu, utraty danych, poważnych problemów z prywatnością, strat finansowych, a nawet kradzieży tożsamości.
| Nazwa | WikiLoader virus |
| Typ zagrożenia | Trojan, program ładujący. |
| Nazwy wykrywania | Avast (FileRepMalware [Misc]), Combo Cleaner (Trojan.GenericKD.64576944), ESET-NOD32 (Win64/Patched.AB), Kaspersky (UDS:Trojan-Banker.Win64.IcedID), Microsoft (Trojan:Win64/IcedID!MTB), Pełna lista wykryć (VirusTotal) |
| Objawy | Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, "pęknięcia" oprogramowania. |
| Szkody | Kradzież haseł i informacji bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania typu loader
Przeanalizowaliśmy tysiące próbek złośliwego oprogramowania; CustomerLoader, ModernLoader, IceXLoader i GootLoader to tylko kilka przykładów programów ładujących.
Złośliwe oprogramowanie może mieć wiele różnych funkcji, które mogą występować w różnych kombinacjach. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża bezpieczeństwu urządzenia i użytkownika. Dlatego wszystkie zagrożenia muszą zostać wyeliminowane natychmiast po wykryciu.
Jak WikiLoader przeniknął do mojego komputera?
Zaobserwowano, że WikiLoader rozprzestrzenia się w masowych kampaniach spamowych. W jednej z nich wysłano ponad 150 tysięcy wiadomości e-mail. Listy te zawierały załączone dokumenty Microsoft Excel, Microsoft OneNote lub PDF.
E-maile rozpowszechniające złośliwe dokumenty Excel były zamaskowane jako wiadomości od Włoskiego Urzędu Skarbowego. Pliki te wykorzystywały złośliwe makropolecenia do infekowania systemów.
W dokumentach OneNote osadzone były złośliwe pliki wykonywalne. Podczas gdy pliki PDF zawierały linki prowadzące do pobrania zarchiwizowanego pliku JavaScript. Jednak w rozprzestrzenianiu WikiLoadera mogły być wykorzystywane inne przebrania, formaty plików i techniki.
Najczęściej stosowane metody dystrybucji obejmują: złośliwe załączniki/linki w spamie (np. e-maile, wiadomości PM/DM, SMS-y itp.), oszustwa internetowe, złośliwe reklamy, pobieranie drive-by (ukradkowe/zwodnicze), niezaufane kanały pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania P2P itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracking") i fałszywe aktualizacje.
Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zachowanie ostrożności w przypadku przychodzących e-maili i innych wiadomości. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych wiadomościach, ponieważ mogą one być zakaźne. Ważne jest, aby używać wersji Microsoft Office wydanych po 2010 roku, ponieważ mają one tryb "Protected View", który zapobiega automatycznemu wykonywaniu makropoleceń.
Ponadto należy zachować czujność podczas przeglądania Internetu, ponieważ fałszywe i złośliwe treści online zwykle wyglądają na legalne i nieszkodliwe.
Innym zaleceniem jest pobieranie tylko z oficjalnych i godnych zaufania źródeł. Zalecamy również aktywowanie i aktualizowanie programów za pomocą funkcji/narzędzi dostarczanych przez prawdziwych programistów, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Musimy podkreślić znaczenie posiadania niezawodnego i aktualnego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.
Zrzuty ekranu złośliwych załączników e-mail Excel używanych do rozprzestrzeniania malware WikiLoader:
Zrzuty ekranu złośliwych załączników PDF używanych do rozprzestrzeniania złośliwego oprogramowania WikiLoader:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest WikiLoader?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania WikiLoader.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".
W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom, niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem WikiLoader, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Większość złośliwych programów można usunąć bez konieczności formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie WikiLoader?
Zagrożenia stwarzane przez złośliwe oprogramowanie zależą od jego funkcjonalności i celów cyberprzestępców. WikiLoader to program ładujący - rodzaj złośliwego oprogramowania przeznaczony do pobierania/instalowania dodatkowych złośliwych programów (np. Ursnif itp.). Ogólnie rzecz biorąc, złośliwe oprogramowanie wysokiego ryzyka może prowadzić do wielu infekcji systemu, utraty danych, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania WikiLoader?
W większości przypadków złośliwe oprogramowanie jest wykorzystywane do generowania przychodów. Jednak złośliwe oprogramowanie jest również wykorzystywane do zabawiania cyberprzestępców, prowadzenia osobistych wendet, zakłócania procesów (np. stron internetowych, usług, firm, organizacji itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie WikiLoader przeniknęło do mojego komputera?
Zaobserwowano, że WikiLoader rozprzestrzenia się za pośrednictwem złośliwych plików dołączonych do wiadomości spamowych. Jednak program ten może być również rozprzestrzeniany przy użyciu innych technik.
Oprócz spamu, złośliwe oprogramowanie jest powszechnie rozpowszechniane poprzez pobieranie drive-by download, niezaufane źródła pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania P2P itp.), nielegalne narzędzia do aktywacji programów ("cracki"), fałszywe aktualizacje, oszustwa internetowe i złośliwe reklamy. Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner jest w stanie wykryć i wyeliminować prawie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że uruchomienie pełnego skanowania systemu jest niezbędne, ponieważ wysokiej klasy złośliwe oprogramowanie zazwyczaj ukrywa się głęboko w systemach.
Znakomita!
▼ Pokaż dyskusję