Jak usunąć StreamSpy z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie StreamSpy?

StreamSpy to nowo zidentyfikowany trojan wykorzystywany przez grupę hakerską Patchwork (APT-Q-36). Komunikuje się on ze swoim serwerem dowodzenia za pomocą protokołów WebSocket i HTTP, wykorzystując WebSocket do odbierania instrukcji i wysyłania wyników, a HTTP do zadań takich jak transfer plików. StreamSpy wykazuje podobieństwa do programu pobierającego Spyder.

Więcej informacji o StreamSpy

StreamSpy rozpoczyna działanie od odblokowania ukrytych ustawień, które zawierają instrukcje dotyczące komunikacji z serwerem dowodzenia, identyfikacji oraz utrzymania obecności w systemie. Następnie skanuje urządzenie i gromadzi szeroki zakres informacji o systemie, takich jak nazwa komputera, nazwa użytkownika, wersja systemu operacyjnego, oprogramowanie antywirusowe i identyfikatory sprzętu.

Łączy te dane, aby utworzyć unikalny identyfikator zainfekowanego komputera i wysyła go do serwera atakującego. Aby zapewnić swoją aktywność po ponownym uruchomieniu komputera, StreamSpy konfiguruje trwałość przy użyciu metod takich jak zaplanowane zadania, specjalne klucze rejestru lub skróty umieszczone w folderze startowym.

StreamSpy obsługuje różne polecenia. Może wykonywać dowolne polecenia powłoki zarówno za pośrednictwem cmd.exe, jak i PowerShell, dając atakującym pełny dostęp do funkcji na poziomie systemu. Złośliwe oprogramowanie może pobierać i wykonywać ładunki, w tym zaszyfrowane archiwa ZIP, które odszyfrowuje i uruchamia lokalnie w celu wdrożenia dodatkowych narzędzi.

Posiada również funkcję przesyłania plików, która umożliwia cyberprzestępcom przesyłanie nowych plików do systemu lub wyprowadzanie wybranych plików. Ponadto złośliwe oprogramowanie może usuwać lub zmieniać nazwy plików, umożliwiając czyszczenie, fałszowanie danych lub przygotowanie do dalszych etapów.

Wreszcie, może wyliczyć wszystkie dyski podłączone do zainfekowanego urządzenia – może zebrać takie informacje, jak całkowita i dostępna pojemność, typ systemu plików oraz to, czy urządzenie jest wymienne.

Wnioski

Ogólnie rzecz biorąc, StreamSpy to trojan, który umożliwia cyberprzestępcom kradzież informacji i wykonywanie różnych czynności na zainfekowanym urządzeniu. Zagrożenie to może powodować takie problemy, jak kradzież tożsamości, dodatkowe infekcje, przejęcie konta, straty finansowe i inne. W przypadku wykrycia StreamSpy należy jak najszybciej usunąć go z systemu.

Dodatkowe przykłady złośliwego oprogramowania sklasyfikowanego jako trojany to Vidar 2.0, Efimer i SilentRoute.

W jaki sposób StreamSpy przeniknął do mojego komputera?

Wiadomo, że StreamSpy jest dostarczany za pośrednictwem złośliwego archiwum ZIP. W jednym z zaobserwowanych przypadków atakujący umieścili plik o nazwie „OPS‑VII‑SIR.zip” na zdalnym serwerze. W tym pliku ZIP umieścili plik wykonywalny StreamSpy, ale ukryli go pod ikoną w stylu PDF, aby wyglądał na nieszkodliwy.

Dodatkowo dołączyli prawdziwe dokumenty PDF, aby oszukać ofiarę i przekonać ją, że archiwum jest legalne. Gdy użytkownik otworzy plik ZIP i uruchomi plik wykonywalny, złośliwe oprogramowanie StreamSpy infiltruje system. Metoda ta znana jest jako inżynieria społeczna, w której atakujący nakłania ofiarę do ręcznego uruchomienia złośliwego oprogramowania.

Nie wiadomo dokładnie, w jaki sposób cyberprzestępcy nakłaniają użytkowników do pobrania złośliwego pliku ZIP, ale może to odbywać się za pośrednictwem fałszywej strony internetowej, oszukańczej wiadomości e-mail, złośliwej reklamy, aplikacji do przesyłania wiadomości, platformy mediów społecznościowych lub podobnego kanału.

Jak uniknąć instalacji złośliwego oprogramowania?

Zachowaj ostrożność w przypadku załączników lub linków w wiadomościach e-mail od nieznanych nadawców, które są nieoczekiwane lub nieistotne. Zawsze pobieraj oprogramowanie z oficjalnych źródeł, takich jak zaufane strony internetowe lub sklepy z aplikacjami, i unikaj pirackich programów, generatorów kluczy i narzędzi do łamania zabezpieczeń. Korzystaj z niezawodnego oprogramowania zabezpieczającego i regularnie skanuj system.

Aktualizuj system operacyjny i aplikacje. Odrzucaj powiadomienia z podejrzanych stron internetowych. Nie klikaj wyskakujących okienek, reklam, przycisków ani linków na nieoficjalnych lub podejrzanych stronach. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest StreamSpy?
• KROK 1. Ręczne usunięcie złośliwego oprogramowania StreamSpy.
• KROK 2. Sprawdź, czy Twój komputer jest czysty.

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem — zazwyczaj najlepiej jest pozwolić programom antywirusowym lub anty-malware wykonać to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz ręcznie usunąć złośliwe oprogramowanie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które chcesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, wykonaj następujące czynności:

Pobierz program o nazwie Autoruns. Program ten pokazuje aplikacje uruchamiane automatycznie, rejestr i lokalizacje systemu plików:

Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij opcję Zamknij, kliknij opcję Uruchom ponownie, a następnie kliknij przycisk OK. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 7 w „trybie awaryjnym z obsługą sieci”:

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz „Zaawansowane”, a następnie wybierz opcję „Ustawienia” z wyników wyszukiwania. Kliknij opcję „Zaawansowane opcje uruchamiania”, a następnie w otwartym oknie „Ogólne ustawienia komputera” wybierz opcję „Zaawansowane uruchamianie”.

Kliknij przycisk „Uruchom ponownie teraz”. Komputer uruchomi się ponownie i wyświetli menu „Zaawansowane opcje uruchamiania”. Kliknij przycisk „Rozwiązywanie problemów”, a następnie przycisk „Opcje zaawansowane”. Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania”.

Kliknij przycisk „Uruchom ponownie”. Komputer uruchomi się ponownie i wyświetli ekran ustawień startowych. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 8 w trybie awaryjnym z obsługą sieci:

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij „Uruchom ponownie”, przytrzymując klawisz „Shift” na klawiaturze. W oknie „Wybierz opcję” kliknij „Rozwiązywanie problemów”, a następnie wybierz „Opcje zaawansowane”.

W menu opcji zaawansowanych wybierz „Ustawienia startowe” i kliknij przycisk „Uruchom ponownie”. W kolejnym oknie należy nacisnąć klawisz „F5” na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 10 w „trybie awaryjnym z obsługą sieci”:

Rozpakuj pobrany plik archiwum i uruchom plik Autoruns.exe.

W aplikacji Autoruns kliknij „Opcje” u góry i odznacz opcje „Ukryj puste lokalizacje” oraz „Ukryj wpisy systemu Windows”. Po wykonaniu tej procedury kliknij ikonę „Odśwież”.

Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik złośliwego oprogramowania, który chcesz usunąć.

Należy zapisać pełną ścieżkę i nazwę programu. Należy pamiętać, że niektóre złośliwe oprogramowania ukrywają nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwę i wybierz opcję „Usuń”.

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (zapewnia to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed kontynuowaniem należy włączyć wyświetlanie ukrytych plików i folderów. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj, aby go usunąć.

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych czynności powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, lepiej zapobiegać infekcji niż próbować później usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem StreamSpy. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Formatowanie urządzenia pamięci masowej nie zawsze jest konieczne. Użytkownikom zaleca się uruchomienie zaufanego programu antywirusowego lub anty-malware, takiego jak Combo Cleaner, w celu wykrycia i usunięcia StreamSpy.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Za pomocą złośliwego oprogramowania cyberprzestępcy mogą uszkadzać pliki lub systemy, przejmować konta, dokonywać kradzieży tożsamości i wyłudzać pieniądze. Mogą również infekować komputery dodatkowym złośliwym oprogramowaniem, szyfrować pliki i wykonywać inne szkodliwe działania.

Jaki jest cel StreamSpy?

StreamSpy umożliwia atakującym gromadzenie informacji o systemie, uruchamianie poleceń, kradzież lub modyfikację plików oraz wdrażanie dodatkowego złośliwego oprogramowania.

W jaki sposób StreamSpy przeniknął do mojego komputera?

StreamSpy jest dostarczany za pośrednictwem złośliwego pliku ZIP, który zawiera trojana przebranego za plik wykonywalny podobny do PDF, wraz z prawdziwymi dokumentami-przynętami, aby wyglądał na legalny. Gdy ofiara otworzy archiwum i uruchomi przebrany plik, złośliwe oprogramowanie infiltruje system. Chociaż dokładna metoda przynęty nie jest jasna, atakujący mogą rozpowszechniać plik ZIP za pośrednictwem fałszywych stron internetowych, oszukańczych wiadomości e-mail, złośliwych reklam lub podobnych kanałów.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner może wykrywać i usuwać prawie wszystkie znane złośliwe oprogramowania. Jednak zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, dlatego konieczne jest przeprowadzenie pełnego skanowania systemu.