Trojan Smoke Loader
Napisany przez Tomasa Meskauskasa,
Poradnik usuwania wiusa Smoke Loader
Czym jest Smoke Loader?
Smoke Loader to malware trojańskie wykorzystywane do rozsyłania różnych innych wirusów. Cyberprzestępcy rozprzestrzeniają Smoke Loader za pomocą wiadomości spamowych (złośliwych załączników). Dlatego zazwyczaj infiltruje ono systemy bez zgody użytkowników. Po udanej infiltracji malware wykonuje szereg działań, takich jak: 1) samodzielna aktualizacja; 2) usunięcie wszystkich śladów, oraz; 3) pobieranie innych wirusów.
Natychmiast po infiltracji Smoke Loader łączy się ze zdalnym serwerem dowodzenia i kontroli (C&C), aby pobrać najnowszą wersję. Ponadto modyfikuje datę utworzenia/modyfikacji pliku wykonywalnego. W ten sposób Smoke Loader uniemożliwia wykrycie tego malware, sprawdzając listę ostatnio zmodyfikowanych plików. Dostęp do tego pliku wykonywalnego jest również blokowany, ponieważ Smoke Loader usuwa uprawnienia do odczytu/zapisu. Aby „ukryć" swoje połączenie z serwerem C&C, Smoke Loader stale wysyła żądania do wiarygodnych adresów URL. Ruch jest umiarkowanie szyfrowany. Oceniając po tym zachowaniu, Smoke Loader można zaklasyfikować jako zaawansowanego trojana.
Smoke Loader służy do rozsyłania różnych wirusów (na przykład XMR Miner). Zachowanie promowanego malware może się różnić - wirusy często wydobywają kryptowaluty, zbierają poufne informacje, używają komputerów ofiar do wysyłania spamu itp.
- Oprogramowanie do wydobywania kryptowaluty wykorzystuje zasoby systemowe do wydobywania kryptowalut (np. Bitcoin, Monero itp.). Proces zajmuje do 100% zasobów sprzętowych. Dlatego system staje się niestabilny i praktycznie bezużyteczny - może łatwo ulec awarii, co może doprowadzić do trwałej utraty danych. Ponadto sprzęt działający z maksymalną wydajnością wytwarza nadmierne ciepło. W pewnych okolicznościach (wysokie temperatury w pomieszczeniu, złe systemy chłodzenia itp.) wydobywanie kryptowaluty może uszkodzić sprzęt (może po prostu się przegrzać). Pamiętaj, że użytkownicy nie otrzymują nic w zamian - cały dochód trafia do cyberprzestępców.
- Malware wysokiego ryzyka śledzące dane zapisuje zwykle wyjątkowo wrażliwe informacje. Lista zebranych typów danych często obejmuje (ale nie wyłącznie) naciśnięcia klawiszy, zapisane loginy/hasła, informacje bankowe, odwiedzane strony internetowe, a nawet zapisane pliki. Dlatego wirusy te stanowią poważne zagrożenie dla prywatności użytkowników - zebrane dane mogą zostać wykorzystane do kradzieży tożsamości w celu wykonywania przelewów pieniężnych, zakupów online itp. Obecność tych wirusów może prowadzić do poważnych problemów prywatności i znacznych strat finansowych.
- Infiltrujące malware może się również rozprzestrzeniać przy użyciu tożsamości ofiar. Wirusy po prostu porywają przeglądarki internetowe (w celu korzystania z sieci społecznościowych) i inne oprogramowanie komunikacyjne (np. Skype), aby wysyłać złośliwe pliki/adresy URL (spam) do wszystkich kontaktów. Te pliki/adresy URL są zwykle maskowane (na przykład malware wysyła je z wiadomościami takimi jak „Sprawdź moje nowe zdjęcie"). Przebranie jest często oczywiste, więc te fałszywe wiadomości powinny być łatwe do wykrycia. Jeśli otrzymałeś te wiadomości/pliki od swoich „przyjaciół", zastanów się dwa razy przed ich pobraniem i otwarciem. Jeśli wiadomość wydaje się podejrzana (zwłaszcza jeśli nie jest w twoim języku ojczystym), nie otwieraj jej.
Podsumowując, obecność trojana Smoke Loader może prowadzić do wielu problemów i dlatego należy go natychmiast wyeliminować. Jeśli zauważysz, że twój komputer działa wolno lub podejrzewasz podejrzane działania (ktoś korzysta z twoich kont, napotykasz podejrzane pliki/pliki wykonywalne itp.), natychmiast przeskanuj swój system za pomocą renomowanego oprogramowania antywirusowego/antyspyware.
Nazwa | Wirus SmokeLoader |
Typ zagrożenia | Trojan, wirus kradnący hasła, malware bankowe, oprogramowanie szpiegujące |
Nazwy wykrycia | Avast (Win32:Trojan-gen), BitDefender (Gen:Variant.Symmi.67297), ESET-NOD32 (Win32/TrojanDownloader.Zurgop.CB), Kaspersky (Trojan.Win32.Sharik.xig), Pełna lista(VirusTotal) |
Ładunek | XMR Miner (ładunek może się różnić). |
Objawy | Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostawać cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, narzędzia łamania oprogramowania. |
Zniszczenie | Skradzione informacje bankowe, hasła, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Jest wiele wirusów, które wykonują wyżej wymienione działania, w tym na przykład JSMiner-C, COINMINER, Adwind, Emotet i LokiBot. Są one opracowywane przez różnych cyberprzestępców, a ich zachowanie może się różnić. Mają jednak jedną wspólną cechę: wszystkie są wykorzystywane do generowania przychodów dla programistów. Dlatego obecność tych wirusów jest wyjątkowo niebezpieczna.
W jaki sposób Smoke Loader zainfekował mój komputer?
Jak wspomniano powyżej, Smoke Loader jest dystrybuowany za pomocą wiadomości e-mail zawierających spam. Są one dostarczane z różnymi dokumentami MS Office (Word, Excel itp.) fałszywie przedstawionymi jako aplikacje o pracę i inne dokumenty związane z pracą. Po otwarciu załącznika użytkownicy są natychmiast proszeni o aktywację makr, aby poprawnie wyświetlić zawartość. Jednak po wykonaniu makra skrypt łączy się ze zdalnym adresem IP i wprowadza moduł Smoke Loader do systemu. Spamowe wiadomości e-mail nie są jedynym sposobem na rozsyłanie malware - przestępcy mogą również wykorzystywać natrętne reklamy, fałszywe aktualizacje i zwodniczą metodę marketingową o nazwie „sprzedaż wiązana" (podstępną instalację nieuczciwych programów ze zwykłym oprogramowaniem).
Jak uniknąć instalacji złośliwego oprogramowania?
Aby temu zapobiec, zachowaj szczególną ostrożność podczas przeglądania Internetu, a zwłaszcza podczas pobierania/instalowania oprogramowania. Dokładnie przeanalizuj każdy załącznik wiadomości e-mail. Jeśli plik wydaje się nieistotny lub został otrzymany z podejrzanego/nierozpoznawalnego adresu e-mail, nie otwieraj go i natychmiast usuń. Pamiętaj, że natrętne reklamy zwykle wydają się uzasadnione, ponieważ programiści inwestują wiele zasobów w ich projektowanie. Jednak po kliknięciu przekierowują na podejrzane witryny (z hazardem, randkami dla dorosłych, pornografią itp.). Te reklamy są często generowane przez PUP typu adware. Dlatego jeśli napotkasz podejrzane przekierowania, natychmiast usuń wszystkie podejrzane aplikacje i wtyczki przeglądarki. Zdecydowanie zalecamy również staranne przeanalizowanie każdego okna procesów pobierania/instalacji i zrezygnowanie ze wszystkich dodatkowych programów. Zaleca się pobieranie programów wyłącznie z oficjalnych źródeł, za pomocą bezpośrednich linków do pobierania. Zewnętrzne programy pobierania/instalacji często zawierają fałszywe aplikacje, dlatego nigdy nie należy ich używać. To samo dotyczy aktualizacji oprogramowania. Zainstalowane programy muszą być aktualizowane, jednak należy to osiągnąć wyłącznie za pomocą wbudowanych funkcji lub narzędzi dostarczonych przez oficjalnego programistę. Niezwykle ważne jest także zainstalowanie i uruchomienie sprawdzonego oprogramowania antywirusowego/antyspyware. Głównymi przyczynami infekcji komputerowych są niewielka wiedza i nieostrożne zachowanie - kluczem do bezpieczeństwa jest ostrożność. Jeśli twój komputer jest już zainfekowany PUP, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner, aby automatycznie je wyeliminować. Jeśli twój komputer jest już zainfekowany programem Smoke Loader, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrujące malware.
Złośliwy załącznik MS Excel z prośbą o aktywację makr:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Smoke Loader?
- KROK 1. Manualne usuwanie malware Smoke Loader.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję