De Vidar Trojan is een gevaarlijk wapen gebruikt tegen de computer gebruikers wereldwijd. Het infecteert voornamelijk via software en service-kwetsbaarheid uitbuit. Ons artikel geeft een overzicht van het gedrag volgens de verzamelde monsters en beschikbare rapporten, ook kan het nuttig zijn bij het proberen te verwijderen van het virus.
De Vidar Trojan is te verdelen in een grootschalige aanval campagne targeting computer slachtoffers van over de hele wereld. Wat is het bijzonder gevaarlijk is over het is dat het is verspreid langs een aantal van de nieuwste GandCrab ransomware releases.
GandCrab Ransomware
De meeste infecties worden veroorzaakt door exploits gedaan tegen twee populaire doelwitten — Internet Explorer en Adobe Flash Player door middel van de Fallout-Exploit Kit. De criminelen kunnen gebruik maken van beide e-mail phishing campagnes en omleidingen verleidelijk de doelstellingen in de interactie met de elementen die leiden tot infecties.
Andere mogelijke verdeling tactieken kunnen het volgende omvatten:
- Malware Sites — De criminelen kunnen maken van kwaadaardige websites die soortgelijke klinkende domeinnamen en beveiligingscertificaten te legitieme diensten, vestigingen en bedrijven in een poging om de slachtoffers te laten geloven dat ze toegang hebt tot een echte en veilige site. Interactie met de elementen binnen zal leiden tot de Vidar Trojan installatie.
- Geïnfecteerde Documenten — De hackers kunnen ambacht documenten met schadelijke scripts en macro ‘ s in documenten van alle soorten: presentaties, spreadsheets, tekstdocumenten en databases. Ze zijn gemaakt door de inbedding van de scripts die je zal maken van een melding wordt gevraagd wanneer de bestanden worden geopend. De inhoud van de aanvragen die de macro ‘ s worden uitgevoerd om te “goed zicht” van het bestand. Dit zal leiden tot de Vidar Trojan infectie.
- File Sharing Netwerken — De Trojan bestanden en alle bijbehorende lading vervoerders kan worden verspreid op netwerken zoals BitTorrent waar zowel legitieme en illegale content wordt gedistribueerd.
- Malware Web Browser plug-ins — Deze plug-ins, ook bekend als kapers, zijn meestal te vinden op de respectievelijke archieven van de meest populaire web-browsers. Ze worden in de volksmond geïnstalleerd omdat de beloften van de grotere verbeteringen of toevoegingen van nieuwe functies en maken vaak gestolen of hacker-gemaakt ontwikkelaar referenties en ervaringen van gebruikers. De meeste van hen wanneer het is geïnstalleerd, zal het wijzigen van de standaard instellingen om voor het omleiden van de slachtoffers van een hacker-gecontroleerde landing pagina.
Volgens de beschikbare informatie de eerste infecties met Vidar gebeurde in oktober 2018.
De Vidar Trojan is geschreven in de taal C++, en deze wordt volledig gemaakt door de hacker of strafrechtelijke collectieve achter de distributie. Het feit dat het is geschreven in deze taal kan worden overgezet naar de meest populaire platforms en operating systemen zonder enig probleem. Een code-analyse toont aan dat het zeer nauw verwant aan een andere bedreiging bekend als Arkei die is voorzien van een hele collectie van gevaarlijke modules.
Een van de onderscheidende kenmerken van de Vidar Trojan is dat het is voorzien van een witte lijst van toegestane hosts die is gebaseerd op de regionale instellingen en de locatie controleert. De malware analyse laat zien dat dit gedrag is één van de eerste om te worden gelanceerd. Wanneer de installatie van de Trojan zal controleren of de nodige machine is geconfigureerd, in overeenstemming met de toegestane lijst, de infecties die het detecteren van een land of regionale instelling buiten de toegestane zone zal automatisch stoppen. Een set van de genomen monsters werden gevonden te richten op de volgende gebieden: rusland, wit-Rusland, Oezbekistan, Kazachstan, Azerbeidzjan.
Na de installatie een unieke apparaat-ID die wordt gegenereerd voor elke besmette gastheer. Het is gemaakt met behulp van een algoritme dat haalt de hardware profiel van de gastheer, samen met de unieke identificatie-ID (UUID) gegeven om de computer tijdens de Microsoft Windows installatie van het besturingssysteem. De verkregen informatie is bevestigd aan de volgende snaren: de taal, de toetsenbord talen, lokale tijd, de tijdzone, de CPU Graaf, RAM geheugen, videokaart details en netwerk interface.
De belangrijkste Vidar Trojan code is gelanceerd achteraf dat de gegevens worden opgeslagen in het geheugen, waardoor het veel moeilijker te detecteren en analyseren van de gemaakte infecties.
Na de implementatie op de doelsystemen een hacker verbinding naar de hacker-gecontroleerde servers zal worden vastgesteld. Dit maakt de criminelen uit te voeren complexe informatie te stelen van activiteiten. De volgende opties zijn beschikbaar:
- Keuze uit Gegevens van het Type — Cookies automatisch aanvullen, Opgeslagen Wachtwoorden van de Browser Gegevens, Individuele Type Bestand Extensies
- Keuze van de Bron — FTP software referenties (FileZilla en WinSCP), Web Browsers, Stoom -, Skype -, Telegram, Specifieke Mappen en Locaties
- Meer Informatie — Screenshots, Graaiers, Actuele Data en Tijd
- Collectie Opties — Max bestandsgrootte Selectie, de Identificatie en de Aankoop van cryptocurrency mijnwerkers, specifieke gegevens zoeken
We hebben gevonden dat de malware maakt haar eigen mappen voor de organisatie doeleinden, is het volgende vastgesteld:
Verschillende onderdelen die worden gebruikt door processen worden gebruikt tijdens: De Freebl Bibliotheek voor de NSS (deel van de Mozilla-Browser), de Mozilla-Browser-Bibliotheek en de Visual C++ Runtime 2015. Ze zijn deel van het virus pakket en worden verwijderd na afloop.
De diepgaande analyse van de dreiging toont aan dat de meeste van de populaire software die wordt gedownload en worden gebruikt door de eindgebruikers wordt beïnvloed:
- Web Browsers — 360 Browser, Amigo, de BlackHawk, Cent Browsers, Chedot Browser, Chroom, CocCoc, Comodo Dragon, Cyberfox, Elementen Browser, Epica Privacy, Google Chrome, IceCat, Internet Explorer, K-Meleon, Kometa, Maxthon5, Microsot Rand, Mozilla Firefox, Mustang Browser, Nichrome, Opera, Orbitum, Bleke Maan, QIP Surfen, QQ Browser, de Spoetnik, Suhba Browser, Tor Browser, Zaklamp, URAN, Vivaldi en Waterfox.
- Boodschappers en e-Mail Clients — Bat!, Pidgin, Telegram en Thunderbird
- Cryptocurrency Portemonnee — Anoncoin, BBQCoin, Bitcoin, DashCore, DevCoin, DigitalCoin, Electron Cash, ElectrumLTC, Ethereum, Exodus, FlorinCoin, FrancoCoin, JAXX, Litecoin, MultiDoge, TerraCoin, YACoin en ZCash.
De informatie grabber code is in staat aan te haken bij bestaande processen, leiden tot onverwachte omstandigheden en lees de Windows Register en de gegevens in de applicaties data. Een lijst van de geopende archieven is de volgende:
Een lading carrier module is ook beschikbaar, die kan het een willekeurige bestandsnaam wordt gemaakt om te worden toegewezen aan een dreiging die worden gedownload van een externe host en uitgevoerd. Wanneer het proces voltooid is, loopt de belangrijkste Vidar Trojan motor kan ervoor kiezen om stopzetting van het proces, verwijderen of helemaal uit het systeem.
Wanneer de infecties zijn uitgevoerd voor de hacker-gestuurde server gecontacteerd opnieuw naar het rapport van de aangebrachte wijzigingen. Het verzamelen van informatie het onderdeel en alle andere modules kan overbrengen op de volgende data: Hardware-ID, naam van BESTURINGSSYSTEEM en versie, beetje type, profiel-ID, de Naam van het slachtoffer account, het aantal verworven creditcard, aantal gestolen portefeuilles, het aantal bestanden winkels, Telegram gegevens en de huidige versie van de Vidar Trojan.
Het blijkt dat de Vidar Trojan kunt de criminele controllers instellen van een commando -, controle-server. Het stelt hen in staat om te communiceren met de geïnfecteerde hosts in real-time en het uitvoeren van alle mogelijke kwaadwillende acties. Wanneer u ingelogd bent op het paneel van de hackers hebben de mogelijkheid voor het bouwen van nieuwe releases, het instellen van de juiste configuratie en om de huidige voorwaarden. Het bedieningspaneel geeft het huidige aantal slachtoffers en de “balans rekening”. Dit betekent dat de ondernemers hebben gehuurd toegang via de hacker ondergrondse markten. Deze implementatie methode is overgenomen van de RaaS – schema dat wordt gebruikt door ransomware virussen. Potentiële hackers betalen de ontwikkelaars een bepaalde vergoeding voor toegang tot de Vidar Trojan paneel voor een bepaalde periode van tijd — wekelijks of maandelijks, afhankelijk van het aanbod. Dit op basis van een abonnement toegang garandeert ook dat de aanvallers altijd toegang tot de laatste versie van de Trojan code.
Elke host functie log bestand met de details en de mogelijkheid tot het opslaan van notities op hen. Alle uitgepakte wachtwoorden worden ook geplaatst in een apart tabblad en dat maakt het heel makkelijk om de verworven referenties.
Als het lijkt op het Vidar Trojan is een zeer krachtig en in staat om malware die moet worden verwijderd zodra actieve infecties vastgesteld. Dit kan erg moeilijk zijn, omdat de motor kan doordringen in de verdediging van het besturingssysteem. Het is aanbevolen dat dergelijke infecties zijn verwijderd door professionele anti-spyware oplossingen die garant staan voor een volle systeem clean-up.
Als uw computer werd geïnfecteerd met het Vidar Trojan Trojan, je moet een beetje ervaring in het verwijderen van malware. U moet zich te ontdoen van deze Trojan zo snel mogelijk, voordat deze de kans om verder verspreid en infecteren van andere computers. U moet verwijderen van de Trojan en volg de stap-voor-stap instructies gids hieronder.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in Vidar Trojan gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
Vidar Trojan gedrag
- Vidar Trojan verbindt met het internet zonder uw toestemming
- Integreert in de webbrowser via de Vidar Trojan Grazen verlenging
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Wijzigingen van gebruiker homepage
- Vidar Trojan shows commerciële advertenties
- Gemeenschappelijke Vidar Trojan gedrag en sommige andere tekst emplaining som info in verband met gedrag
- Steelt of gebruikt uw vertrouwelijke gegevens
- Zichzelf installeert zonder machtigingen
- Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
- Vidar Trojan deactiveert geïnstalleerde beveiligingssoftware.
- Uw browser omleiden naar geïnfecteerde pagina's.
Vidar Trojan verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Vidar Trojan Geografie
Vidar Trojan elimineren van Windows
Vidar Trojan uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen Vidar Trojan uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen Vidar Trojan van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
Vidar Trojan verwijderen uit uw Browsers
Vidar Trojan Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen Vidar Trojan van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen Vidar Trojan van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).