如何从启用Rootkit的Scranos恶意软件中保护您的密码

提防,Scranos rootkit恶意软件最近开始流行,它会通过伪造的证书窃取密码和用户凭据,从而对您造成严重损害。但是,如果您成为Scranos rootkit恶意软件的受害者,请不要担心。安全公司Bitdefender声称可以很容易地将其删除。

对于不认识的人来说,Rootkit恶意软件是最困难,最无情的恶意软件之一,您可能会碰到这种不幸。由于Scranos遍及全球,因此一直受到安全专家的关注。

如前所述,安全性Bitdefender是第一个发现Scranos使用带有证书签名的rootkit驱动程序的人,该驱动程序最有可能窃取和窃取用户密码和数据。最初,Scranos在大多数情况下都是在中国境内运行的,但似乎该恶意软件最近已在全球范围内流行。据Bitdefender称,当前,大多数感染发生在印度,罗马尼亚,巴西,法国,意大利和印度尼西亚。

Scranos伪装成合法软件或诸如电子书阅读器,视频播放器,驱动程序甚至安全软件之类的应用。一旦蠕虫侵入您的计算机,Scranos将安装rootkit驱动程序以隐藏恶意软件。 Scranos将与命令和控制(C&C)中心链接,这将开始下载其其余组件。从Windows XP到Windows的所有最新版本中都发现了Scranos恶意软件。在使用Windows 10和Windows 7的计算机上发现了Scranos rootkit的最大集中,这不足为奇。

BitDefender报告说,他们已经收集了Scranos rootkit恶意软件样本,其中一些可追溯到2018年11月。该恶意软件在2018年12月和2019年1月达到峰值。然后,在3月份,C&C中心开始传播该恶意软件的其他菌株,这可能意味着该网络已开始与第三方合作进行按安装次数收费的欺诈。

Scranos有什么危险?

Scranos不是开玩笑。它可以执行各种攻击,例如:

  1. 从所有流行的浏览器(例如Google Chrome,Mozilla Firefox,Opera,Microsoft Edge,Internet Explorer和其他浏览器)中提取Cookie并窃取用户名和密码
  2. 从Facebook,Amazon和Airbnb获取付款帐户。
  3. 在您不知情的情况下,从您的Facebook帐户向其他帐户发送朋友请求。
  4. 将网上诱骗消息发送给您的Facebook朋友。
  5. Steam帐户的盗用用户名和密码。
  6. 在Internet Explorer中管理JavaScript广告软件。
  7. 添加Chrome和Opera扩展程序,以使用JavaScript广告软件感染它们。
  8. 监视您的浏览历史记录。
  9. 向Chrome用户隐密显示广告或使YouTube视频静音。
  10. 如果尚未安装Chrome,请先安装。
  11. 订阅您特定的YouTube视频频道。
  12. 下载并运行恶意负载。
  13. Rootkit的可疑签名似乎属于Yun Yu Health Management Consulting(Shanghai)Co.。尽管该证书在撰写本文时尚未被撤销,但已经通知有关当局。

如何检测和删除Scranos和其他rootkit恶意软件。

Rootkit恶意软件非常顽强,因此它们通常需要非常具体的步骤来检测和删除它们。 Scranos本身可以删除,但是过程相当复杂。请按照以下步骤操作,您应该能够从计算机中删除此讨厌的恶意软件。

      1. 关闭浏览器(如果已打开)。
      2. 关闭从临时路径运行的所有进程。
      3. 删除所有检测为恶意的文件。
      4. 关闭rundll32.exe进程。
      5. 创建rootkit文件名,如下所示:
        -获取当前用户的SID。
        -计算a)产生的字符串的MD5。
        -从b)获取前12个字符
      6. 执行具有管理员权限的cmd或PowerShell窗口,然后键入:
        > sc stop sc delete转到%WINDIR%\ System32 \ drivers并搜索名为.sys的文件并删除该文件。
      7. 删除DNS驱动程序(在下面的MOIYZBWQSO应该替换为您的特定驱动程序名称):
        -确保已安装DNS驱动程序:%TEMP%中的文件应为10个随机大写字母的文件(例如:MOIYZBWQSO.sys)。在注册表中,还应该有一个与名称相对应的键(例如:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MOIYZBWQSO)
        -使用管理员权限运行cmd或PowerShell窗口并键入:
        “ sc停止MOIYZBWQSO”
        “ sc删除MOIYZBWQSO”
        -删除文件%TEMP%\ MOIYZBWQSO.sys
      8. 重新启动PC,以从svchost.exe进程中删除注入的代码。
      9. 从浏览器中删除所有可疑扩展。
      10. 以防万一,请更改所有密码。

July 16, 2019

发表评论