PCrisk.pl

Jak usunąć złośliwe oprogramowanie Eternidade

Trojan

Znany również jako: Eternidade malware

Tomas Meskauskas

Poziom uszkodzenia:

Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.

USUŃ TO TERAZ

Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Czym jest złośliwe oprogramowanie Eternidade?

Eternidade to złośliwy program napisany w języku programowania Delphi. Jest to trojan bankowy typu stealer, zdolny do wyciągania poufnych danych z zainfekowanych urządzeń. Eternidade był wykorzystywany do ataków na użytkowników w Brazylii. To złośliwe oprogramowanie może samodzielnie rozprzestrzeniać się poprzez spam w aplikacji WhatsApp.

Eternidade wykrycie złośliwego oprogramowania w serwisie VirusTotal

Przegląd złośliwego oprogramowania Eternity

Eternidade to program typu stealer, którego celem jest wykradanie i wyciek informacji finansowych. W chwili pisania tego artykułu złośliwe oprogramowanie rozprzestrzenia się poprzez spam dostarczany za pośrednictwem platformy komunikacyjnej WhatsApp. Rozpowszechniane wiadomości są napisane w języku portugalskim brazylijskim. Zawierają one złośliwy skrypt, który uruchamia łańcuch infekcji Eternidade.

Po uruchomieniu skrypt umieszcza plik wsadowy przeznaczony do infiltracji robaka WhatsApp i programu typu dropper. Pierwszy z nich służy do rozprzestrzeniania Eternidade za pośrednictwem wspomnianego spamu WhatsApp. Robak ten gromadzi listy kontaktów WhatsApp ofiar, w tym status kontaktów (zapisane/niezapisane), identyfikatory WhatsApp, nazwy kontaktów i numery telefonów. Zebrane dane są natychmiast wysyłane do serwera C&C (Command and Control) atakujących.

Następnie złośliwe oprogramowanie wykorzystuje wyodrębnione informacje do tworzenia spersonalizowanych wiadomości i wysyłania ich do wszystkich kontaktów. W wiadomościach tych znajdują się nazwiska odbiorców, a odpowiednie powitanie jest wybierane w zależności od pory dnia (tj. „bom dia”, „boa tarde”, „boa noite”). Spam ten zawiera złośliwy skrypt, a następnie dostarczana jest następująca wiadomość. Warto jednak zauważyć, że tekst i język wiadomości mogą być zmieniane zdalnie przez atakujących. W związku z tym możliwe są różne warianty.

Ten ostatni – dropper sprawdza język systemu i nie kończy infekcji, jeśli nie jest to brazylijski portugalski. Jeśli język nie pasuje, pojawia się komunikat o błędzie.

Jeśli infekcja postępuje, do systemu wprowadzanych jest kilka ładunków. Złośliwe oprogramowanie gromadzi obszerne dane dotyczące urządzenia, tj. nazwę urządzenia, wersję i architekturę systemu operacyjnego, szczegóły dotyczące sprzętu, całkowitą dostępną przestrzeń dyskową, RAM (ekstrapolowaną), adres IP, datę/czas itp. Infekcja wykorzystuje mechanizmy antydetekcyjne, takie jak sprawdzanie systemu pod kątem zainstalowanego oprogramowania antywirusowego. Ładunki są uruchamiane w pamięci, a do wstrzyknięcia ostatecznego ładunku – Eternidade – wykorzystywany jest trojan iniekcyjny.

Ten program typu stealer atakuje różne aplikacje związane z bankowością, usługami płatniczymi i kryptowalutami (pełna lista poniżej). Po zidentyfikowaniu celu złośliwe oprogramowanie nawiązuje połączenie z serwerem C&C. Warto zauważyć, że chociaż Eternidade ma zakodowany na stałe adres C&C, jest to adres zapasowy. Dostęp do rzeczywistego serwera C&C uzyskuje się za pośrednictwem poczty elektronicznej, a dane logowania są zakodowane na stałe w programie kradnącym dane. W ten sposób złośliwe oprogramowanie może utrzymać swoją trwałość i stale aktualizować adres C&C.

Eternidade może pobrać odpowiednie ekrany phishingowe, które są używane do nakładania się na oryginalne aplikacje. Nakładki te rejestrują wprowadzone informacje, takie jak dane logowania. Jednak program ten ma również inne możliwości kradzieży danych, takie jak wyciek plików, robienie zrzutów ekranu i keylogging (rejestrowanie naciśnięć klawiszy).

Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje narzędzia i metody działania. Dlatego też Eternidade, które ma już kilka wariantów, prawdopodobnie będzie miało dodatkowe/inne funkcje w potencjalnych przyszłych wersjach.

Podsumowując, obecność oprogramowania takiego jak Eternidade stealer na urządzeniach może skutkować poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości.

Podsumowanie zagrożeń:
Nazwa Eternidade malware
Rodzaj zagrożenia Trojan, trojan bankowy, złośliwe oprogramowanie bankowe, wirus kradnący hasła, program kradnący dane.
Nazwy wykrywania Avast (Win32:MalwareX-gen [Trj]), Kaspersky (HEUR:Trojan.Win32.Agent.gen), Microsoft (Trojan:Win32/Wacatac.B!ml), Symantec (Trojan.Gen.MBT), TrendMicro (Trojan.Win32.CASBANEIRO. YAFKU), pełna lista wykrytych zagrożeń (VirusTotal)
Objawy Trojany są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego też na zainfekowanym komputerze nie widać żadnych wyraźnych objawów.
Metody dystrybucji Zainfekowane załączniki do wiadomości e-mail, złośliwe reklamy internetowe, socjotechnika, „crackowanie” oprogramowania.
Uszkodzenie Skradzione hasła i dane bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.

Pobierz Combo Cleaner

Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Przykłady złośliwego oprogramowania bankowego

Zbadaliśmy niezliczoną ilość złośliwych programów; Maverick, SORVEPOTEL i BlackMoon to tylko kilka z naszych najnowszych artykułów dotyczących trojanów bankowych. Złośliwe oprogramowanie niekoniecznie atakuje wyłącznie dane finansowe, ale może poszukiwać różnorodnych informacji. Wiele rodzajów złośliwego oprogramowania posiada funkcje kradzieży danych i/lub jest wykorzystywanych wraz z innymi rodzajami złośliwego oprogramowania.

Jednak niezależnie od tego, jakie informacje są celem złośliwego oprogramowania (jeśli w ogóle), jego obecność w systemie stanowi zagrożenie dla bezpieczeństwa urządzenia i użytkownika. Dlatego wszystkie zagrożenia należy natychmiast usuwać po ich wykryciu.

W jaki sposób Eternidade przeniknęło do mojego komputera?

Jak opisano w powyższym artykule, zaobserwowano, że Eternidade rozprzestrzenia się samodzielnie poprzez spam w aplikacji WhatsApp. Podczas procesu infekcji przez tego złodzieja do systemów ofiar wprowadzany jest robak WhatsApp. Złośliwe oprogramowanie typu robak gromadzi dane kontaktowe WhatsApp i wykorzystuje je do wysyłania spersonalizowanych wiadomości. Spam zawiera złośliwy skrypt, który uruchamia łańcuch infekcji Eternidade na urządzeniach odbiorców.

Inne metody dystrybucji nie są wykluczone. Socjotechnika i phishing są standardowymi metodami rozprzestrzeniania złośliwego oprogramowania. Złośliwe oprogramowanie jest często ukryte w zwykłych treściach lub dołączone do nich.

Zainfekowane pliki występują w różnych formatach, takich jak pliki wykonywalne (EXE, RUN itp.), archiwa (RAR, ZIP itp.), dokumenty (PDF, Microsoft Office, Microsoft OneNote itp.), JavaScript i inne. Samo otwarcie złośliwego pliku może wystarczyć, aby uruchomić łańcuch infekcji.

Najbardziej rozpowszechnione techniki dystrybucji obejmują: trojany typu backdoor/loader, podejrzane źródła pobierania (np. strony internetowe z darmowym oprogramowaniem i strony internetowe stron trzecich, sieci wymiany plików peer-to-peer, itp.), pobieranie typu drive-by (ukryte/podstępne), złośliwe załączniki lub linki w wiadomościach spamowych, oszustwa internetowe, złośliwe reklamy, nielegalne narzędzia do aktywacji oprogramowania („cracki”) oraz fałszywe aktualizacje.

Ponadto niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej (np. zewnętrzne dyski twarde, pamięci USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Zdecydowanie zalecamy pobieranie plików wyłącznie z oficjalnych i godnych zaufania kanałów. Aktywuj i aktualizuj oprogramowanie za pomocą funkcji/narzędzi dostarczanych przez legalnych twórców, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.

Kolejną rekomendacją jest zachowanie ostrożności podczas przeglądania stron internetowych, ponieważ w Internecie roi się od oszukańczych i niebezpiecznych treści. Należy zachować ostrożność w przypadku otrzymywanych wiadomości e-mail i innych wiadomości. Nie należy otwierać załączników ani linków zawartych w podejrzanych/nieistotnych wiadomościach, ponieważ mogą one zawierać złośliwe oprogramowanie.

Konieczne jest zainstalowanie niezawodnego programu antywirusowego i regularne aktualizowanie go. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.

Zrzut ekranu nakładki wyświetlanej przez Eternidade (źródło obrazu – Trustwave):

Eternidade malware wyświetlana nakładka

Zrzut ekranu panelu administracyjnego Eternidade (źródło obrazu – Trustwave):

Eternidade malware panel administracyjny

Banki, które padły ofiarą programu Eternidade:

  • Bank BMG
  • Bank Bradesco
  • Bank BS2
  • Bank Amazonii
  • Bank Brazylii
  • Bank Nordeste (BNB)
  • Banrisul
  • BTG Pactual
  • Caixa Econômica Federal (Caixa, CEF)
  • Itaú Unibanco
  • Bank handlowy
  • Bank Santander
  • Sukces
  • Sicredi
  • Tribanco

Usługi płatnicze ukierunkowane:

  • MercadoPago
  • RecargaPay
  • Stripe

Portfele kryptowalutowe jako cel ataku:

  • Atomic
  • Blockchain.com
  • Coinomi
  • Electrum
  • Exodus
  • Ledger
  • Math
  • MetaMask
  • Phantom
  • Solflare
  • TokenPocket
  • Trust

Wybrane giełdy kryptowalut:

  • Binance
  • Bitfinex
  • Bitget
  • Bitstamp
  • Bybit
  • Coinbase
  • Coinext
  • Crypto.com
  • Foxbit
  • Gate.io
  • Gemini
  • Huobi
  • Kraken
  • Kucoin
  • Novadax
  • OKX
  • Poloniex

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

POBIERZ Combo Cleaner

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem — zazwyczaj najlepiej jest pozwolić programom antywirusowym lub anty-malware wykonać to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz ręcznie usunąć złośliwe oprogramowanie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które chcesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Proces złośliwego oprogramowania uruchomiony w Menedżerze zadań

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, wykonaj następujące czynności:

ręczne usuwanie złośliwego oprogramowania 1Pobierz program o nazwie Autoruns. Program ten pokazuje aplikacje uruchamiane automatycznie, rejestr i lokalizacje systemu plików:

Wygląd aplikacji Autoruns

ręczne usuwanie złośliwego oprogramowania 2Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij opcję Zamknij, kliknij opcję Uruchom ponownie, a następnie kliknij przycisk OK. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.

Uruchom system Windows 7 lub Windows XP w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 7 w „trybie awaryjnym z obsługą sieci”:

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz „Zaawansowane”, a następnie wybierz opcję „Ustawienia” z wyników wyszukiwania. Kliknij opcję „Zaawansowane opcje uruchamiania”, a następnie w otwartym oknie „Ogólne ustawienia komputera” wybierz opcję „Zaawansowane uruchamianie”.

Kliknij przycisk „Uruchom ponownie teraz”. Komputer uruchomi się ponownie i wyświetli menu „Zaawansowane opcje uruchamiania”. Kliknij przycisk „Rozwiązywanie problemów”, a następnie przycisk „Opcje zaawansowane”. Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania”.

Kliknij przycisk „Uruchom ponownie”. Komputer uruchomi się ponownie i wyświetli ekran ustawień startowych. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 8 w trybie awaryjnym z obsługą sieci:

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij „Uruchom ponownie”, przytrzymując klawisz „Shift” na klawiaturze. W oknie „Wybierz opcję” kliknij „Rozwiązywanie problemów”, a następnie wybierz „Opcje zaawansowane”.

W menu opcji zaawansowanych wybierz „Ustawienia startowe” i kliknij przycisk „Uruchom ponownie”. W kolejnym oknie należy nacisnąć klawisz „F5” na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 10 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 10 w „trybie awaryjnym z obsługą sieci”:

ręczne usuwanie złośliwego oprogramowania 3Rozpakuj pobrany plik archiwum i uruchom plik Autoruns.exe.

Rozpakuj archiwum Autoruns.zip i uruchom aplikację Autoruns.exe

ręczne usuwanie złośliwego oprogramowania 4W aplikacji Autoruns kliknij „Opcje” u góry i odznacz opcje „Ukryj puste lokalizacje” oraz „Ukryj wpisy systemu Windows”. Po wykonaniu tej procedury kliknij ikonę „Odśwież”.

Odśwież wyniki aplikacji Autoruns

ręczne usuwanie złośliwego oprogramowania 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik złośliwego oprogramowania, który chcesz usunąć.

Należy zapisać pełną ścieżkę i nazwę programu. Należy pamiętać, że niektóre złośliwe oprogramowania ukrywają nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwę i wybierz opcję „Usuń”.

Usuń złośliwe oprogramowanie w Autoruns

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (zapewnia to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed kontynuowaniem należy włączyć wyświetlanie ukrytych plików i folderów. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj, aby go usunąć.

Wyszukaj złośliwe oprogramowanie i usuń je

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych czynności powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, lepiej zapobiegać infekcji niż próbować później usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem Eternidade. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie Eternidade?

Zagrożenia związane ze złośliwym oprogramowaniem zależą od jego funkcji i celów atakujących. Eternidade to złośliwe oprogramowanie służące do kradzieży danych, które atakuje informacje bankowe i inne dane finansowe. Ogólnie rzecz biorąc, obecność takiego oprogramowania na urządzeniach może prowadzić do poważnych problemów związanych z prywatnością, strat finansowych i kradzieży tożsamości.

Jaki jest cel złośliwego oprogramowania Eternidade?

Złośliwe oprogramowanie jest wykorzystywane przede wszystkim w celach zarobkowych. Jednak cyberprzestępcy mogą również używać złośliwego oprogramowania do zakłócania procesów (np. stron internetowych, usług, działalności firm itp.), dla rozrywki, w celu zemsty, w ramach haktywizmu oraz do przeprowadzania ataków o podłożu politycznym/geopolitycznym.

W jaki sposób złośliwe oprogramowanie Eternidade dostało się do mojego komputera?

Eternidade infiltruje systemy wraz z robakiem WhatsApp, który rozprzestrzenia się za pomocą złośliwego skryptu wysyłanego do kontaktów ofiar. Możliwe są również inne metody dystrybucji.

Złośliwe oprogramowanie rozprzestrzenia się zazwyczaj poprzez trojany, pobieranie drive-by, wątpliwe źródła pobierania (np. strony internetowe z darmowym oprogramowaniem i strony internetowe stron trzecich, sieci wymiany plików P2P itp.), złośliwe reklamy, spam, oszustwa internetowe, nielegalne narzędzia do aktywacji oprogramowania („cracking”) oraz fałszywe aktualizacje. Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner jest przeznaczony do skanowania urządzeń i usuwania wszelkiego rodzaju zagrożeń. Jest w stanie wykrywać i eliminować większość znanych infekcji złośliwym oprogramowaniem. Należy pamiętać, że ponieważ zaawansowane złośliwe oprogramowanie zazwyczaj ukrywa się głęboko w systemach, wykonanie pełnego skanowania systemu ma kluczowe znaczenie.

Udostępnij:

facebook
X (Twitter)
linkedin
skopiuj link
Tomas Meskauskas

Tomas Meskauskas

Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.

▼ Pokaż dyskusję

Początek strony

Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.

Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Przekaż darowiznę