Imminent Monitor RAT
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Poradnik usuwania wirusa Imminent Monitor
Czym jest Imminent Monitor?
Imminent Monitor to legalne narzędzie dostępu zdalnego (RAT), które pomaga właścicielom zdalnie kontrolować serwery i komputery z systemem Microsoft Windows. Problem polega jednak na tym, że cyberprzestępcy wykorzystują złamane wersje Imminent Monitor w celu generowania przychodów. Dlatego, nawet jeśli samo narzędzie jest legalne, może być niewłaściwie wykorzystywane na różne sposoby, co oznacza, że obecność Imminent Monitor kontrolowanego przez kogoś innego może powodować wiele problemów.
Przede wszystkim należy wspomnieć, że Imminent Monitor jest bardzo zaawansowanym RAT, a jego lista funkcji jest dość długa. Imminent Monitor pozwala użytkownikowi zapisywać naciśnięcia klawiszy, pobierać/uruchamiać pliki, wyodrębniać loginy/hasła z przeglądarek internetowych, kończyć uruchomione procesy i wykonywać dziesiątki innych działań (możesz znaleźć całą listę tutaj). Jeśli takie narzędzie jest używane przez właściciela komputera, jest bardzo przydatne. Jeśli jednak cyberprzestępca uzyska zdalny dostęp za pomocą tego Imminent Monitor, ryzyko infekcji komputerowych, strat finansowych/danych i poważnych problemów prywatności jest bardzo wysokie. Po pierwsze, cyberprzestępcy często wykorzystują narzędzia zdalnego dostępu, aby wprowadzić dodatkowe malware do systemu. RAT są często wykorzystywane do rozsyłania infekcji trojańskich (które zwykle zbierają dane osobowe), ransomware, górników kryptowaluty i porywaczy przeglądarki/adware. Trojany kradnące dane są przeznaczone do zapisywania aktywności przeglądania Internetu, naciśnięć klawiszy, informacji o kartach kredytowych, zapisanych loginach/hasłach itp. Obecność takich infekcji może prowadzić do poważnych problemów prywatności i znacznych strat finansowych. Jednak ponieważ sam Imminent Monitor jest w stanie wykonywać takie działania, jest mało prawdopodobne, że oszuści wykorzystają go do rozprzestrzeniania kradzieży danych. Ransomware ma na celu skompromitowanie przechowywanych danych (zwykle przez szyfrowanie) i żądanie okupu w zamian za ich odzyskanie. Problem polega na tym, że programiści ransomware często ignorują ofiary po dokonaniu przez nie płatności. Z tego powodu płatność zazwyczaj nie przynosi pozytywnego wyniku, użytkownicy zostają oszukani, a dane pozostają zaszyfrowane. Górnicy kryptowaluty to złośliwe aplikacje, które nadużywają zasobów systemu do wydobywania kryptowaluty bez zgody użytkownika. Takie górnictwo może zajmować do 100% zasobów systemu, dlatego system staje się niestabilny (może łatwo ulec awarii), praktycznie bezużyteczny (ledwo reaguje), a komponenty sprzętowe mogą się ostatecznie przegrzać. Adware i porywacze przeglądarki są mniej szkodliwe - większość z nich po prostu generuje natrętne reklamy, powoduje niechciane przekierowania i zbiera niektóre dane. Podsumowując, obecność Imminent Monitor może prowadzić do znacznych strat danych/finansowych, poważnych problemów prywatności (kradzieży tożsamości) i infekcji komputerowych wysokiego ryzyka. Na szczęście wykrycie i wyeliminowanie tej infekcji jest dość łatwe. Po pierwsze, Imminent Monitor tworzy folder o nazwie "Imminent" w folderze danych aplikacji użytkownika. Ponadto procesy złamanych wersji mają podejrzane nazwy w Menedżerze zadań Windows. Próbka, którą przeanalizowaliśmy, uruchomiła proces o nazwie"©Windows ©Microsoft Corporation ©2019". Sam plik wykonywalny miał nazwę "working4.exe", a jego ikona była twarzą diabła. Jeśli znalazłeś taki plik i/lub folder w swoim komputerze i zauważyłeś podejrzane działania, natychmiast zeskanuj system za pomocą renomowanego oprogramowania antywirusowego/antyspyware i wyeliminuj wszystkie wykryte zagrożenia.
Nazwa | Narzędzie zdalnego dostępu Imminent Monitor |
Typ zagrożenia | Trojan, wirus kradnący hasła, bankowe malware, spyware |
Objawy | Trojany są zaprojektowane do podstępne infiltracji komputera ofiary oraz pozostawania cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych konkretnych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, złamane oprogramowanie. |
Zniszczenie | Skradzione informacje bankowe, hasła, kradzież tożsamości, komputer ofiary został dodany do botnetu. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Są dziesiątki narzędzi zdalnego dostępu używanych przez cyberprzestępców. Na przykład, H-Worm, CrimsonRAT, Megalodon, ExileRat itd. Niektóre z nich są uzasadnione, a inne opracowywane przez samych cyberprzestępców. Ostatecznie jednak wszystkie te wirusy są wykorzystywane w tym samym celu: generowania jak największych przychodów. Dlatego odinstalowanie narzędzi zdalnego dostępu jest po prostu koniecznością.
Analiza techniczna RAT:
- Nazwy wykrycia: Avast (Win32:Trojan-gen), BitDefender (Trojan.GenericKD.31790542), Kaspersky (HEUR:Trojan-Ransom.MSIL.Blocker.gen), ESET-NOD32 (wariant MSIL/Kryptik.ORX)
- Pełna lista wykryć antywirusa: VirusTotal
- Nazwa pliku wykonywalnego: working4.exe
- Pierwsza przesłana próbka: 2019-03-13 (stworzona 2019-03-07)
W jaki sposób Imminent Monitor przeniknął do mojego komputera?
Obecnie nie wiadomo, jak dokładnie programiści rozsyłają Imminent Monitor. Jednak takie narzędzia są rozpowszechniane za pomocą kampanii spamowych e-mail, fałszywych aktualizacji oprogramowania/narzędzi łamania oprogramowania, trojanów i nieoficjalnych źródeł pobierania oprogramowania. Oszuści wykorzystują kampanie spamowe do wysyłania setek tysięcy wiadomości e-mail zawierających szkodliwe załączniki (dokumenty MS Office, pliki PDF, pliki wykonywalne itp.) oraz zwodnicze komunikaty zachęcające użytkowników do ich otwarcia. Powoduje to jednak różne infekcje systemowe. Fałszywe programy aktualizujące infekują systemy nadużywając błędów/wad nieaktualnego oprogramowania lub po prostu pobierając i instalując malware zamiast obiecanych aktualizacji. Narzędzia łamania oprogramowania zachowują się praktycznie tak samo. Mają bezpłatnie aktywować płatne oprogramowanie. Ponieważ jednak oszuści wykorzystują je do rozsyłania malware, użytkownicy często infekują swoje komputery, zamiast uzyskiwać dostęp do płatnych funkcji. Trojany można opisać bardzo prosto: są to złośliwe aplikacje, które potajemnie infiltrują komputery i wprowadzają malware do systemu. Sieci P2P (eMule, torrenty itp.), witryny z bezpłatnymi plikami do pobrania, bezpłatne witryny do hostowania plików i inne źródła pobierania stron trzecich prezentują szkodliwe pliki wykonywalne jako legalne oprogramowanie. To skłania użytkowników do samodzielnego pobierania/instalowania/uruchamiania malware.
Jak uniknąć instalacji malware?
Po pierwsze, użytkownicy muszą zdawać sobie sprawę, że główną przyczyną infekcji komputerowych są niewielka wiedza i nieostrożne zachowanie. Kluczem do jego bezpieczeństwa jest ostrożność, dlatego należy uważnie przeszukiwać Internet i pobierać/instalować/aktualizować oprogramowanie. Zdecydowanie zalecamy zastanowienie się dwa razy przed otwarciem załączników do wiadomości e-mail. Upewnij się, że otrzymany plik/link jest odpowiedni, a nadawca jest ci znany/rozpoznawalny. Jeśli nie, nie otwieraj niczego i natychmiast usuń wiadomość e-mail. Pobieraj aplikacje wyłącznie z oficjalnych źródeł, korzystając z bezpośrednich linków do pobrania. Narzędzia pobierania/instalacji innych firm często zawierają nieuczciwe aplikacje, dlatego nigdy nie powinny być używane. To samo dotyczy aktualizacji oprogramowania. Zainstalowane aplikacje i system operacyjny powinny być zawsze na bieżąco aktualizowane. Jednak powinno to zostać osiągnięte wyłącznie dzięki wbudowanym funkcjom lub narzędziom dostarczonym przez oficjalnego programistę. Nigdy nie należy próbować łamać zainstalowanych aplikacji. Piractwo komputerowe jest uważane za cyberprzestępczość, a ponadto ryzyko infekcji jest bardzo wysokie. Do tego należy używać renomowanego oprogramowania antywirusowego/antyspyware, ponieważ narzędzia te z wysokim prawdopodobieństwem wykryją i wyeliminują malware przed uszkodzeniem systemu. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrujące malware.
Zrzut ekranu złamanego pliku wykonywalnego Imminent Monitor ("working4.exe") i jego procesu ("©Windows ©Microsoft Corporation ©2019") w Menedżerze Zadań Windows:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Imminent Monitor?
- KROK 1. Manualne usuwanie malware Imminent Monitor.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję