Trojan Kovter
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Poradnik usuwania wirusa Kovter
Czym jest Kovter?
Kovter (znany również jako Trojan.Kovter, Trojan:Win32/Kovter i Trojan.Kovter.297) to trojan typu adware zaprojektowany do generowania ruchu dla różnych witryn. Wyniki badań pokazują, że Kovter jest zwykle rozsyłany za pomocą złośliwych załączników Microsoft Office (które są dystrybuowane za pomocą kampanii spamowych e-mail), a także innego trojana.
Kovter ma jedną interesującą funkcję, która zwiększa jego unikalność wykrywania. W przeciwieństwie do większości infekcji, Kovter nie jest przechowywany w żadnym pliku. Zamiast tego cyberprzestępcy instalują to malware, tworząc szereg wpisów w rejestrze systemu Windows. W ten sposób cyberprzestępcy mogą zatrzymać Kovter w systemie bez konieczności umieszczania jakichkolwiek plików, na podstawie których można go wykryć. Głównym celem Kovter jest generowanie ruchu dla różnych stron internetowych. Jest przeznaczony do uruchamiania wielu instancji Internet Explorer w tle. Te instancje służą do odwiedzania różnych witryn i emulowania kliknięć różnych linków/banerów reklamowych. W ten sposób cyberprzestępcy są w stanie generować ruch internetowy i dochody. Obecność takich infekcji może powodować wiele problemów. Po pierwsze, wydajność systemu znacznie spada, ponieważ uruchamianie procesów programu Internet Explorer wymaga dużej ilości zasobów. Ponadto Kovter może być używany do odwiedzania złośliwych witryn, co oznacza, że jego obecność może prowadzić do różnych infekcji systemu. Kovter można wykryć na wiele sposobów. Po pierwsze, zwykle uruchamia losowo nazwany proces w menedżerze zadań Windows (np. próbka, którą przeanalizowaliśmy, uruchomiła proces o nazwie "Portofino"). Powinieneś być także w stanie zobaczyć wiele procesów Internet Explorer. Wpisy rejestru systemu Windows Kovter są nazywane przy użyciu nieczytelnych znaków, dlatego domyślny Edytor Rejestru nie może ich poprawnie wyświetlić. Na szczęście różne oprogramowanie antywirusowe/antyszpiegowskie jest w stanie wykryć takie infekcje i je wyeliminować. Dlatego, jeśli zauważyłeś którykolwiek z wyżej wymienionych objawów, natychmiast uruchom pełne skanowanie systemu i wyeliminuj wszystkie wykryte zagrożenia.
Nazwa | Trojan:Win32/Kovter |
Typ zagrożenia | Trojan, infekcje typu adware |
Nazwy wykrycia | Avast (Win32:VBCrypt-DFV [Trj]), BitDefender (Gen:Heur.PonyStealer.3), ESET-NOD32 (wariant Win32/Injector.CCKM), Kaspersky (Trojan.Win32.VBKryjetor.vya), Pełna lista (VirusTotal) |
Nazwa złośliwego procesu(ów) | Portofino (nazwa procesu może się różnić w wariancie Kovter). |
Dodatkowe informacje |
Trojan Kovter nie umieszcza żadnych plików w systemie. Zamiast tego, jest umieszczony w całości w Rejestrze Windows. |
Objawy | Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary oraz pozostać cichymi, w wyniku czego na zainfekowanej maszynie nie ma jawnie widocznych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, narzędzia łamania oprogramowania. |
Zniszczenie | Obniżona wydajność komputera, prędkość Internetu, brakuej zasobów systemowych. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Internet jest pełen infekcji trojańskich (np. Bolik, Tofsee, TrickBot, Hancitor, Ursnif). Jednak Kovter jest dość rzadki. Infekcje tego typu robią zwykle dwie rzeczy: rozsyłają inne malware i/lub zbierają różne poufne informacje. Ryzyko takich infekcji jest zazwyczaj znacznie wyższe - ich obecność prowadzi zwykle do różnych infekcji systemu (np. ransomware, wydobywaczy krytowaluty itp.) i/lub różnych problemów związanych z prywatnością (kradzieży kart kredytowych/tożsamości, strat finansowych itd.). Dlatego w porównaniu z takimi trojanami Kovter nie jest tak szkodliwy. W każdym razie eliminacja trojanów i innych infekcji systemowych jest najważniejsza, niezależnie od tego, czy ich poziom obrażeń jest wysoki czy niski.
Jak Kovter przeniknął do mojego komputera?
Jak wspomniano powyżej, Kovter jest zwykle rozsyłany przy użyciu złośliwych dokumentów Microsoft Office, a także innej infekcji trojańskiej o nazwie Trojan.MulDrop6.42771. Złośliwe dokumenty MS Office są zazwyczaj dystrybuowane jako załączniki do różnych kampanii spamowych e-mail. Po otwarciu, dokumenty te wymagają włączenia makropoleceń, które po wykonaniu pobierają i instalują malware w systemie. Trojany takie jak Trojan.MulDrop6.42771 infiltrują potajemnie komputery i wprowadzają je za pomocą dodatkowego malware. Obecnie nie wiadomo, jak dokładnie programiści rozsyłają Trojan.MulDrop6.42771. Wiadomo jednak, że infekcje tego typu są dystrybuowane dzięki wspomnianym wyżej kampaniom spamowym e-mail, fałszywym aktualizatorom/narzędziom łamania oprogramowania i źródłom pobierania oprogramowania innych firm. Fałszywe aktualizacje i narzędzia łamania oprogramowania instalują malware zamiast aktualizować/łamać oprogramowanie. Źródła pobierania innych firm prezentują szkodliwe pliki wykonywalne jako legalne oprogramowanie, tym samym nakłaniając użytkowników do samodzielnego pobierania i instalowania malware.
Jak uniknąć instalacji malware?
Po pierwsze, użytkownicy muszą zdać sobie sprawę, że główną przyczyną infekcji komputerowych jest niewielka wiedza i nieostrożne zachowanie. Kluczem do bezpieczeństwa komputera jest ostrożność. Dlatego też koniecznością jest zwracanie uwagi na przeglądanie Internetu oraz pobieranie/instalowanie oprogramowania. Zawsze uważaj, aby obsługiwać załączniki do wiadomości e-mail. Jeśli plik/link jest nieistotny (nie dotyczy ciebie) i/lub nadawca wygląda podejrzanie, nie otwieraj niczego. Pamiętaj, że cyberprzestępcy często wykorzystują oszustwa (np. „wygrałeś loterię", „pieniądze zostały przelane na twoje konto", „otrzymałeś paczkę" itp.), aby oszukać naiwnych użytkowników do otworzenia załączników. Dlatego nigdy nie powinieneś im wierzyć. Pobieraj oprogramowanie wyłącznie z oficjalnych źródeł, najlepiej za pomocą bezpośrednich linków do pobrania. Na bieżąco aktualizuj zainstalowany system operacyjny i oprogramowanie. Jednak, aby to osiągnąć, używaj wbudowanych funkcji lub narzędzi udostępnionych wyłącznie przez oficjalnych programistów. Piractwo komputerowe jest uważane za cyberprzestępczość. Ponadto ryzyko infekcji jest bardzo wysokie. Z tego powodu piractwo komputerowe nigdy nie powinno być brane pod uwagę. Wreszcie zdecydowanie zalecamy zainstalowanie i uruchomienie renomowanego pakietu antywirusowego/antyspyware. Oprogramowanie tego typu pomoże ci wykryć i wyeliminować malware, zanim uszkodzi system. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Spyhunter, aby automatycznie wyeliminować infiltrujące malware.
Nazwy zagrożenia Kovter w różnych silnikach antywirusowych:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję