Jak usunąć Meterpreter?
Napisany przez Tomasa Meskauskasa,
Poradnik usuwania wirusa Meterpreter
Czym jest Meterpreter?
Meterpreter to złośliwy program trojański, który pozwala cyberprzestępcom zdalnie kontrolować zainfekowanymi komputerami. To malware działa w pamięci komputera bez zapisywania czegokolwiek na dysku. Innymi słowy, wstrzykuje się w zaatakowane procesy i nie tworzy żadnych nowych procesów. Meterpreter może być używany do wysyłania i odbierania plików, uruchamiania plików wykonywalnych, uruchamiania różnych poleceń za pomocą powłoki poleceń, robienia zrzutów ekranu i zapisywania naciśnięć klawiszy. Jak większość programów tego typu jest dystrybuowana w celu kradzieży różnych informacji, które mogłyby zostać wykorzystane do generowania przychodów i/lub infekowania komputerów innym złośliwym oprogramowaniem.
Dzięki możliwości wysyłania, odbierania i wykonywania plików za pośrednictwem Meterpreter cyberprzestępcy mogą zainfekować komputer ofiary większą ilością malware, na przykład ransomware. Ransomware to rodzaj oprogramowania, które szyfruje dane, aby ofiary nie mogły z nich korzystać, uzyskiwać do nich dostępu, chyba że odszyfrują je za pomocą narzędzia (lub narzędzi), które zwykle można kupić wyłącznie od cyberprzestępców, którzy zaprojektowali program. Jednak Meterpreter może być używany do instalowania wielu innych rodzajów złośliwych programów. Ponadto cyberprzestępcy, otrzymując pliki z komputera ofiary, mogą uzyskać dostęp do plików osobistych, które mogą zawierać poufne informacje. Ponadto to malware może zapisywać naciśnięcia klawiszy, co oznacza, że może zapisywać wprowadzanie danych z klawiatury (naciśnięte klawisze). Z reguły cyberprzestępcy wykorzystują tę funkcję do kradzieży danych uwierzytelniających (loginów, haseł) różnych kont, a inne dane osobowe, które mogą być niewłaściwie wykorzystane, generują im przychody na różne sposoby. Na przykład poprzez niewłaściwe wykorzystywanie skradzionych kont do dokonywania nieuczciwych zakupów, transakcji, oszukiwania innych osób w celu dokonywania transakcji pieniężnych, rozsyłania różnych oszustw, a nawet malware za pośrednictwem poczty elektronicznej i innych platform itp. Meterpreter może także służyć do robienia zrzutów ekranu, co oznacza, że cyberprzestępcy mogą wykonywać zrzuty ekranu z otwartych poufnych dokumentów, kont zawierających dane osobowe itp. Jak wspomnieliśmy na początku, Meterpreter może również uzyskiwać dostęp do powłoki poleceń. Pozwala cyberprzestępcom uruchamiać różne polecenia, np. wyłączać, ponownie uruchamiać komputer, uruchamiać lub kończyć różne programy (wyłączyć oprogramowanie antywirusowe lub inne oprogramowanie zabezpieczające) i robić wiele innych rzeczy. Meterpreter to potężne narzędzie, którego można użyć do spowodowania szeregu poważnych problemów. Jeśli istnieje powód, by sądzić, że ten program trojański znajduje się w pamięci twojego komputera lub jest wstrzykiwany w jakiś zaatakowany proces, należy go natychmiast wyeliminować.
Nazwa | Malware Meterpreter |
Typ zagrożenia | Trojan, wirus kradnący hasła, malware bankowe, oprogramowanie szpiegujące. |
Nazwy wykrycia (dokument MS Office) | Avast (VBA:Downloader-EON [Trj]), BitDefender (VB:Trojan.Valyria.447), ESET-NOD32 (VBA/TrojanDropper.Agent.UR), Kaspersky (HEUR:Trojan.Win32.Generic), Pełna lista (VirusTotal) |
Nazwy wykrycia (ładunek złośliwego dokumentu) | Avast (Win32:SwPatch [Wrm]), BitDefender (Trojan.CryptZ.Gen), ESET-NOD32 (wariant Win32/Rozena.ED), Kaspersky (HEUR:Trojan.Win32.Generic), Pełna lista (VirusTotal) |
Objawy | Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostać cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, narzędzia "łamania" oprogramowania. |
Zniszczenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Więcej przykładów złośliwych programów sklasyfikowanych jako trojany to KBOT, Lampion i CryptBot. Zwykle oprogramowanie tego typu jest wykorzystywane do infekowania komputerów różnymi innymi złośliwymi programami i/lub kradzieży jak największej liczby poufnych informacji. Tak czy inaczej cyberprzestępcy rozsyłają je w celu generowania przychodów. Dość często programy trojańskie powodują problemy użytkowników zainfekowanych komputerów, takie jak utratę pieniędzy, utratę danych, kradzież tożsamości, problemy związane z prywatnością i inne poważne problemy. Dlatego jeśli w twoim systemie operacyjnym jest zainstalowany trojan lub inne malware, należy je jak najszybciej usunąć.
W jaki sposób Meterpreter dostał się do mojego komputera?
Badania pokazują, że Meterpreter rozprzestrzenia się za pośrednictwem kampanii spamowych/e-maili. Cyberprzestępcy wysyłają e-maile ze złośliwym dokumentem MS Office, który jest przeznaczony do zainstalowania Meterpreter. Po otwarciu prosi o zgodę na edycję (polecenia makr). Jeśli zgoda zostanie wydana, ten złośliwy dokument wstrzykuje Meterpreter. Więcej przykładów plików, które cyberprzestępcy często dołączają do swoich e-maili, to pliki archiwalne (takie jak ZIP, RAR), dokumenty PDF, pliki wykonywalne pliki takie jak .exe i JavaScript. Niestety istnieje więcej sposobów na rozsyłanie malware. W innych przypadkach cyberprzestępcy robią to za pomocą niewiarygodnych źródeł pobierania, fałszywych aktualizacji oprogramowania i nieoficjalnych narzędzi aktywacyjnych („łamania" oprogramowania). Sieci peer-to-peer (klienci torrentów, eMule itp.), strony z bezpłatnym hostingiem plików, strony z bezpłatnym oprogramowaniem do pobrania, nieoficjalne witryny, narzędzia pobierania stron trzecich itp. są przykładami niewiarygodnych kanałów i narzędzi pobierania oprogramowania. Cyberprzestępcy używają ich jako narzędzi do hostowania szkodliwych plików, które podszywają się pod nieszkodliwe, zwykłe pliki. Po pobraniu i otwarciu pliki te infekują systemy malware. Fałszywe narzędzia do aktualizacji oprogramowania powodują uszkodzenie poprzez instalowanie malware zamiast aktualizacji lub wykorzystując błędy i wady niektórych nieaktualnych programów zainstalowanych w systemie operacyjnym. Narzędzia do łamania oprogramowania to programy używane przez osoby, które chcą bezpłatnie aktywować licencjonowane oprogramowanie. Jednak dość często nie omijają płatnej aktywacji i mają na celu dystrybucję złośliwych programów.
Jak uniknąć instalacji malware?
Zdecydowanie zalecamy ignorowanie nieistotnych e-mail zawierających załączniki lub linki internetowe, zwłaszcza jeśli są odbierane z nieznanych i podejrzanych adresów. Warto wspomnieć, że takie e-maile są zwykle prezentowane jako ważne, oficjalne itd. Nie jest również bezpieczne pobieranie (lub instalowanie) oprogramowania za pośrednictwem zewnętrznych programów pobierania (lub instalatorów), nieoficjalnych witryn i innych źródeł, narzędzi, o których wspominaliśmy w poprzednim akapicie. Każde oprogramowanie (i pliki) należy pobrać z oficjalnych witryn internetowych i bezpośrednich linków. Zainstalowane oprogramowanie musi być aktualizowane wyłącznie przy użyciu narzędzi i/lub wbudowanych funkcji zaprojektowanych przez oficjalnych programistów. Nie należy ufać innym narzędziom (nieoficjalnym, zewnętrznym). To samo dotyczy różnych narzędzi do łamania oprogramowania. Poza tym aktywacja licencjonowanego oprogramowania za ich pośrednictwem jest nielegalna, ponieważ mogą powodować instalację złośliwych programów. Jeszcze jedną ważną rzeczą jest posiadanie w systemie operacyjnym sprawdzonego oprogramowania antyszpiegowskiego lub antywirusowego i regularne skanowanie systemu w poszukiwaniu zagrożeń. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrujące malware.
Złośliwy załącznik/dokument dystrybuujący Meterpreter:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Meterpreter?
- KROK 1. Manualne usuwanie malware Meterpreter.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję