FacebookTwitterLinkedIn

Instrukcje usuwania trojana zdalnego dostępu NetDooka

Znany również jako: Trojan zdalnego dostępu NetDooka
Typ: Trojan
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez ,

Czym jest NetDooka?

Odkryta przez TrendMicro, NetDooka to wieloskładnikowa platforma malware dystrybuowana za pośrednictwem złośliwej usługi PPI (Pay-Per-Install). Ze względu na charakter złośliwych usług PPI, może różnić się dokładnie to, jakie złośliwe komponenty są instalowane.

Obserwowane łańcuchy infekcji skompromitowały program ładujący i dropper, a ostatecznym ładunkiem był NetDooka RAT (trojan zdalnego dostępu). Niektóre warianty zawierały sterownik ochrony, który próbuje zapobiec próbom usunięcia malware. RAT to złośliwe programy zaprojektowane w celu umożliwienia zdalnego/dostępu przez zainfekowane urządzenia. Dlatego te trojany są wielofunkcyjne i bardzo wszechstronne.

Wykryte złośliwe oprogramowanie NetDooka na VirusTotal

Przegląd malware NetDooka

Podstawowymi elementami łańcucha infekcji NetDooka jest początkowy ładunek, po którym uruchamia się program ładujący, który przygotowuje system na następujące komponenty, a proces kończy się instalacją RAT.

Według raportu TrendMicro, proces infekcji rozpoczyna się od pobrania przez ofiarę PrivateLoader. Zauważono, że ten złośliwy program był dystrybuowany pod przykrywką pirackiego oprogramowania. Następnie wprowadzany jest pierwszy składnik - dropper, który odpowiada za wykonanie kolejnego loadera.

Po sprawdzeniu, że nie działa na urządzeniu wirtualnym, program ładujący tworzy wirtualny pulpit i inicjuje proces usuwania oprogramowania antywirusowego z zainfekowanego urządzenia. NetDooka jest w stanie odinstalować programy bezpieczeństwa 360 Total Security, Avira, ESET, GData i Viper. Ten proces jest włączany przez utworzenie zdalnej myszy/wskaźnika, który jest następnie używany do zakończenia dezinstalacji. Po wykonaniu tej czynności blokowane są różne witryny internetowe z oprogramowaniem bezpieczeństwa, aby ofiary nie mogły uzyskać takich programów.

Inny dropper jest używany do wykonania RAT. W niektórych wersjach, zanim ostateczna zawartość zostanie usunięta – instalowany jest sterownik, który ma zapobiegać usuwaniu plików i procesowi zamykania malware.

RAT NetDooka posiada wiele funkcji. Może wykonywać polecenia powłoki, które mogą wykonywać wiele różnych złośliwych działań.

Godne uwagi możliwości obejmują: zapisywanie klawiszy (nagrywanie naciśnięć klawiszy), zdalny mikrofon i kamerę (nagrywanie dźwięku i obrazu), wdrażanie ataków DDoS (Distributed Denial-of-Service) oraz pobieranie/wykonywanie plików. Ta ostatnia funkcjonalność może być wykorzystana do infekowania systemu dodatkowym malware (np. trojanami, ransomware, koparkami kryptowaluty etc.).

Jak wspomniano we wstępie, procesy i komponenty infekcji NetDooka mogą się różnić. Niezależnie od tego, to malware jest szczególnie niebezpieczne.

Podsumowując, NetDooka może prowadzić do wielu infekcji systemu, trwałej utraty danych, poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości. Jeśli twój system jest już zainfekowany NetDooka (lub innym złośliwym oprogramowaniem), zdecydowanie zalecamy użycie programu antywirusowego, aby go natychmiast usunąć.

Podsumowanie zagrożenia:
Nazwa Trojan zdalnego dostępu NetDooka
Typ zagrożenia Trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące.
Nazwy wykrycia (NetDooka) Avast (Win32:PWSX-gen [Trj]), Combo Cleaner (IL:Trojan.MSILZilla.10987), ESET-NOD32 (MSIL/Agent.DQV), Kaspersky (HEUR:Trojan-PSW.MSIL.Stealer.gen), Microsoft (Trojan:Win32/Woreflint.A!cl), Pełna lista wykrycia (VirusTotal)
Nazwy wykrycia (PrivateLoader) Avast (Win32:PWSX-gen [Trj]), Combo Cleaner (Trojan.Ransom.GenericKD.39505729), ESET-NOD32 (wariant Win32/Kryptik.HPFX), Kaspersky (HEUR:Trojan.Win32.Zapchast.gen), Microsoft (Ransom:Win32/StopCrypt.PBH!MTB), Pełna lista wykrycia (VirusTotal)
Powiązane domeny data-file-data-18[.]com, file-coin-coin-10[.]com
Nazwy wykrycia (data-file-data-18[.]com) Combo Cleaner (malware), ESET (malware), Fortinet (malware), Heimdal Security (złośliwy), Sophos (malware), Pełna lista wykrycia (VirusTotal)
Nazwy wykrycia (file-coin-coin-10[.]com) Combo Cleaner (malware), Dr.Web (złośliwy), ESET (malware), Fortinet (malware), Heimdal Security (złośliwy), Pełna lista wykrycia (VirusTotal)
Objawy Trojany mają na celu potajemną infiltrację komputera ofiary i milczenie, dzięki czemu na zainfekowanej maszynie nie widać wyraźnie żadnych konkretnych objawów.
Metody dystrybucji Zainfekowane załączniki do wiadomości e-mail, złośliwe reklamy online, socjotechnika, pirackie oprogramowanie.
Zniszczenie Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Przykłady trojanów zdalnego dostępu

Przeanalizowaliśmy tysiące szkodliwych programów i setki RAT. Eagle Monitor, SiMay i Borat to tylko kilka przykładów trojanów zdalnego dostępu, o których niedawno pisaliśmy.

Należy podkreślić, że niezależnie od sposobu działania malware, jego obecność na urządzeniu poważnie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie infekcje muszą zostać usunięte natychmiast po wykryciu.

Jak NetDooka dostał się nan mój komputer?

Istnieją dowody na to, że NetDooka rozprzestrzeniał się pod przykrywką pirackich programów. Jednak malware jest dystrybuowane przy użyciu różnych metod.

Do najpopularniejszych technik dystrybucji należą: niewiarygodne kanały pobierania (np. nieoficjalne witryny i strony pobierania bezpłatnego oprogramowania, sieci udostępniania peer-to-peer itp.), pobrania drive-by (ukryte i zwodnicze), złośliwe załączniki i linki w e-mailach oraz wiadomościach spamowych, nielegalne narzędzia do aktywacji programów („łamania" zabezpieczeń), oszustwa internetowe i fałszywe aktualizacje.

Zainfekowane pliki mogą mieć różne formaty, np. dokumentów Microsoft Office i PDF, archiwów (ZIP, RAR itp.), plików wykonywalnych (.exe, .run itp.), JavaScript itd. Kiedy taki plik jest wykonywany, uruchamiany lub w inny sposób otwierany, uruchomiony zostaje łańcuch infekcji. Przykładowo, dokumenty Microsoft Office powodują infekcje, wykonujące złośliwe makropolecenia.

Jak uniknąć instalacji malware?

Radzimy zawsze korzystać z oficjalnych i zweryfikowanych źródeł pobierania. Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu narzędzi zapewnionych przez prawdziwych programistów, ponieważ nielegalne narzędzia aktywacyjne („łamania" zabezpieczeń) i fałszywe aktualizacje mogą powodować infekcje.

Kolejnym zaleceniem jest zachowanie ostrożności w przypadku poczty przychodzącej. Nie należy otwierać załączników i linków znalezionych w podejrzanych/nieistotnych e-mailach i wiadomościach, ponieważ mogą one zawierać malware.

Musimy podkreślić, jak ważne jest posiadanie zainstalowanego i aktualizowanego niezawodnego programu antywirusowego. Oprogramowanie bezpieczeństwa musi być używane do uruchamiania regularnych skanów systemu i usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.

Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

Proces złośliwego oprogramowania uruchomiony w Menedżerze zadań

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

krok ręcznego usuwania złośliwego oprogramowania 1Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:

Wygląd aplikacji Autoruns

krok ręcznego usuwania złośliwego oprogramowania 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.

Uruchom system Windows 7 lub Windows XP w trybie awaryjnym z obsługą sieci

Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.

Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".

Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.

Uruchom Windows 8 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".

W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 10 w trybie awaryjnym z obsługą sieci

Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":

krok ręcznego usuwania złośliwego oprogramowania 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

Rozpakuj archiwum Autoruns.zip i uruchom aplikację Autoruns.exe

krok ręcznego usuwania złośliwego oprogramowania 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Odśwież wyniki aplikacji Autoruns

krok ręcznego usuwania złośliwego oprogramowania 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".

Usuń złośliwe oprogramowanie w Autoruns

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

Wyszukaj złośliwe oprogramowanie i usuń je

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.

Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.

Czesto zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware NetDooka. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?

Nie, NetDooka można usunąć bez formatowania.

Jakie są największe problemy, jakie może powodować malware NetDooka?

Jakie zagrożenia stwarza szkodliwy program – zależy od jego możliwości i celów cyberprzestępców. NetDooka to wielofunkcyjny RAT (trojan zdalnego dostępu), który jest również zdolny do infekowania systemów dodatkowym malware – dlatego też zakres jego zagrożeń jest szczególnie szeroki. Ogólnie rzecz biorąc, infekcje malware mogą skutkować obniżoną wydajnością lub awarią systemu, trwałą utratą danych, poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości.

Jaki jest cel malware NetDooka?

W większości przypadków złośliwe oprogramowanie jest wykorzystywane do generowania przychodów. Jednak złośliwe programy mogą być również wykorzystywane do rozśmieszenia atakujących, zakłócania procesów (np. witryn, usług, organizacji itp.) oraz przeprowadzania ataków politycznych/geopolitycznych lub osobistych wendet.

Jak złośliwe oprogramowanie NetDooka przeniknęło do mojego komputera?

Malware jest przede wszystkim dystrybuowane poprzez pobrania drive-by, oszustwa internetowe, e-maile i wiadomości spamowe, podejrzane źródła pobierania (np. witryny z bezpłatnym oprogramowaniem i stron trzecich, sieci wymiany peer-to-peer itp.), nielegalne narzędzia aktywacji programów („łamania" zabezpieczeń) oraz fałszywe aktualizacje. Niektóre złośliwe programy mogą nawet samodzielnie rozsyłać się w sieciach lokalnych i wymiennych urządzeniach pamięci (np. zewnętrznych dyskach twardych, dyskach flash USB itp.).

Czy Combo Cleaner ochroni mnie przed malware?

Tak, Combo Cleaner może wykryć i usunąć praktycznie wszystkie znane infekcje malware. Należy podkreślić, że uruchomienie pełnego skanowania systemu ma kluczowe znaczenie, ponieważ wyrafinowane malware zwykle ukrywa się głęboko w systemie.

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
Trojan zdalnego dostępu NetDooka kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Trojan zdalnego dostępu NetDooka na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.