Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Jakiego rodzaju złośliwym oprogramowaniem jest ChimeraWire?
ChimeraWire to rodzaj złośliwego oprogramowania (trojana) działającego na komputerach z systemem Windows. Wykorzystuje ono funkcjonalność narzędzi open source o nazwie zlsgo i Rod, które są zwykle używane do automatyzacji działań na stronach internetowych. To złośliwe oprogramowanie kontroluje przeglądarkę Chrome, symulując ludzkie zachowania podczas przeglądania stron internetowych, dzięki czemu strony wydają się bardziej popularne, a jednocześnie wykorzystuje zaawansowane techniki do omijania programów antywirusowych.
Więcej informacji o ChimeraWire
Po uruchomieniu złośliwego oprogramowania ChimeraWire na komputerze pobierany jest plik o nazwie „chrome-win.zip”. W pliku tym znajduje się kopia przeglądarki Google Chrome dla systemu Windows. Witryna internetowa, na której znajduje się plik „chrome-win.zip”, zawiera również archiwa z wersjami przeglądarki Chrome dla innych systemów operacyjnych, takich jak Linux i macOS (oraz dla różnych platform sprzętowych).
Po pobraniu przeglądarki ChimeraWire próbuje dodać do niej dwa rozszerzenia: „NopeCHA” i „Buster”. Narzędzia te służą do automatycznego omijania testów CAPTCHA i są wykorzystywane przez złośliwe oprogramowanie do przeprowadzania szkodliwych działań.
Następnie ChimeraWire uruchamia przeglądarkę w specjalnym trybie programisty i ukrywa okno, dzięki czemu jego działania pozostają niezauważone. Po uruchomieniu przeglądarki złośliwe oprogramowanie otwiera połączenie z losowo wybranym portem programisty, korzystając z metody komunikacji WebSocket.
Na tym etapie złośliwe oprogramowanie łączy się z serwerem dowodzenia i kontroli, aby uzyskać instrukcje. Serwer wysyła zakodowaną wiadomość zawierającą plik ustawień JSON. Plik ustawień zawiera zadania, które ma wykonać złośliwe oprogramowanie, oraz szczegóły niezbędne do wykonania każdego z nich.
Określa, której wyszukiwarki należy używać, np. Google lub Bing, oraz terminy wyszukiwania, których złośliwe oprogramowanie powinno używać do znajdowania i otwierania docelowych stron. Ustawia również liczbę stron, które złośliwe oprogramowanie powinno przeglądać po kolei, częstotliwość i miejsce klikania linków, czas oczekiwania na załadowanie stron oraz docelowe strony internetowe.
Aby działania programu wyglądały na bardziej autentyczne i uniknąć wykrycia, plik zawiera instrukcje dotyczące robienia przerw między sesjami. Ponadto ChimeraWire może symulować kliknięcia myszą, aby wyglądało to tak, jakby przeglądała stronę prawdziwa osoba. Klikając wyniki wyszukiwania, otwiera linki w nowych kartach.
Po wyszukaniu stron internetowych wymienionych w swoich ustawieniach, gromadzi wszystkie linki na stronie, zmienia ich kolejność, aby uniknąć wykrycia przez boty, i sprawdza, które z nich pasują do jego celów. Jeśli znajdzie wystarczającą liczbę dobrych dopasowań, sortuje je według trafności i klika te najlepsze.
Jeśli nie, przechodzi do modelu imitującego ludzką losowość, wybierając liczbę linków do otwarcia na podstawie prawdopodobieństwa. Za każdym razem, gdy otwiera link, przechodzi między kartami w razie potrzeby i powtarza ten proces, aż osiągnie limit kliknięć określony w instrukcjach.
| Nazwa | ChimeraWire kliker |
| Rodzaj zagrożenia | Trojan |
| Nazwy wykrywania | AhnLab-V3 (Malware/Win.Generic.C5785589), CTX (Exe.trojan.artemis), ESET-NOD32 (WinGo/Packed. Obfuscated.D Suspicious Application), Kingsoft (Win32.Troj.gracing.v), Symantec (ML.Attribute.HighConfidence), Pełna lista (VirusTotal) |
| Objawy | Trojany są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego też na zainfekowanym komputerze nie widać żadnych wyraźnych objawów. |
| metody dystrybucji | Złośliwe programy do pobierania plików umieszczone na stronach internetowych obsługiwanych przez cyberprzestępców. |
| Uszkodzenie | Kradzież informacji, potencjalne straty finansowe i kradzież tożsamości, wysokie zużycie procesora lub innego sprzętu oraz podobne problemy. |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Wnioski
Ogólnie rzecz biorąc, ChimeraWire to złośliwe oprogramowanie zaprojektowane tak, aby naśladować rzeczywiste zachowania użytkowników. Korzystając z jego ustawień, złośliwe oprogramowanie może wykonywać realistyczne czynności związane z przeglądaniem stron internetowych, takie jak wyszukiwanie, otwieranie stron i klikanie linków, aby sztucznie zwiększyć widoczność i pozycję docelowych stron internetowych w wynikach wyszukiwania. Należy pamiętać, że cyberprzestępcy mogą wykorzystywać je do wypełniania formularzy online, udziału w ankietach reklamowych, a nawet przechwytywania treści ze stron internetowych i zrzutów ekranu w celu gromadzenia danych.
W jaki sposób ChimeraWire przeniknęło do mojego komputera?
ChimeraWire jest dostarczany za pośrednictwem programów pobierających złośliwe oprogramowanie. W jednej ze znanych metod dostarczania cyberprzestępcy wykorzystują program pobierający o nazwie „Python.Downloader.208”, który może być umieszczony w archiwum ZIP hostowanym na serwerze atakującego. Po uruchomieniu program wyodrębnia kilka plików i próbuje uzyskać uprawnienia administratora.
Aby to osiągnąć, program pobierający wykorzystuje lukę w zabezpieczeniach systemu Windows znaną jako DLL Search Order Hijacking, umożliwiającą mu załadowanie złośliwej biblioteki zamiast legalnej. Po uzyskaniu podwyższonych uprawnień pobiera kolejną archiwum ZIP ze złośliwego serwera zdalnego. Archiwum to zawiera złośliwe oprogramowanie ChimeraWire.
Druga znana metoda infekcji wykorzystuje inny program pobierający o nazwie „Trojan.DownLoader48.61444”, który działa w podobny sposób. Wykorzystuje on również luki w zabezpieczeniach w celu podwyższenia uprawnień, a następnie pobiera i instaluje trojana ChimeraWire.
Jak uniknąć instalacji złośliwego oprogramowania?
Zawsze aktualizuj system operacyjny i aplikacje oraz zachowaj ostrożność w przypadku plików lub linków zawartych w niechcianych wiadomościach e-mail od nieznanych nadawców. Pobieraj oprogramowanie wyłącznie z zaufanych źródeł lub oficjalnych sklepów z aplikacjami i unikaj pirackich programów, cracków lub generatorów kluczy.
Odrzucaj powiadomienia z nieznanych stron internetowych i unikaj klikania wyskakujących okienek, reklam, przycisków, linków lub jakichkolwiek podejrzanych treści w Internecie. Dodatkowo korzystaj z niezawodnego programu zabezpieczającego i regularnie skanuj system, aby chronić swój komputer.
Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.
Przykłady stron internetowych, z którymi trojan miał współpracować na podstawie poleceń z serwera C2 (źródło: drweb.com):
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest ChimeraWire?
- KROK 1. Ręczne usunięcie złośliwego oprogramowania ChimeraWire.
- KROK 2. Sprawdź, czy Twój komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem — zazwyczaj najlepiej jest pozwolić programom antywirusowym lub anty-malware wykonać to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcesz ręcznie usunąć złośliwe oprogramowanie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które chcesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, wykonaj następujące czynności:
Pobierz program o nazwie Autoruns. Program ten pokazuje aplikacje uruchamiane automatycznie, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij opcję Zamknij, kliknij opcję Uruchom ponownie, a następnie kliknij przycisk OK. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w „trybie awaryjnym z obsługą sieci”:
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz „Zaawansowane”, a następnie wybierz opcję „Ustawienia” z wyników wyszukiwania. Kliknij opcję „Zaawansowane opcje uruchamiania”, a następnie w otwartym oknie „Ogólne ustawienia komputera” wybierz opcję „Zaawansowane uruchamianie”.
Kliknij przycisk „Uruchom ponownie teraz”. Komputer uruchomi się ponownie i wyświetli menu „Zaawansowane opcje uruchamiania”. Kliknij przycisk „Rozwiązywanie problemów”, a następnie przycisk „Opcje zaawansowane”. Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania”.
Kliknij przycisk „Uruchom ponownie”. Komputer uruchomi się ponownie i wyświetli ekran ustawień startowych. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w trybie awaryjnym z obsługą sieci:
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij „Uruchom ponownie”, przytrzymując klawisz „Shift” na klawiaturze. W oknie „Wybierz opcję” kliknij „Rozwiązywanie problemów”, a następnie wybierz „Opcje zaawansowane”.
W menu opcji zaawansowanych wybierz „Ustawienia startowe” i kliknij przycisk „Uruchom ponownie”. W kolejnym oknie należy nacisnąć klawisz „F5” na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w „trybie awaryjnym z obsługą sieci”:
Rozpakuj pobrany plik archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje” u góry i odznacz opcje „Ukryj puste lokalizacje” oraz „Ukryj wpisy systemu Windows”. Po wykonaniu tej procedury kliknij ikonę „Odśwież”.
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik złośliwego oprogramowania, który chcesz usunąć.
Należy zapisać pełną ścieżkę i nazwę programu. Należy pamiętać, że niektóre złośliwe oprogramowania ukrywają nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwę i wybierz opcję „Usuń”.
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (zapewnia to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj, aby go usunąć.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych czynności powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, lepiej zapobiegać infekcji niż próbować później usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem ChimeraWire. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Całkowite wymazanie urządzenia pamięci masowej jest zazwyczaj zbędne. Złośliwe oprogramowanie, takie jak ChimeraWire, można zazwyczaj usunąć za pomocą renomowanego oprogramowania antywirusowego lub anty-malware, takiego jak Combo Cleaner.
Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?
W zależności od rodzaju złośliwe oprogramowanie może spowalniać zainfekowany system, zakłócać jego działanie, wprowadzać inne złośliwe oprogramowanie, kraść poufne dane, szyfrować i usuwać pliki lub umożliwiać cyberprzestępcom zdalne sterowanie zainfekowanym urządzeniem.
Jaki jest cel ChimeraWire?
Głównym celem ChimeraWire jest naśladowanie rzeczywistych zachowań użytkowników podczas przeglądania stron internetowych w celu sztucznego zwiększenia widoczności i pozycji określonych stron internetowych w wynikach wyszukiwania. ChimeraWire może być również dostosowany do gromadzenia danych, przesyłania formularzy, wykonywania zrzutów ekranu i innych zadań.
W jaki sposób ChimeraWire przeniknęło do mojego komputera?
ChimeraWire prawdopodobnie dostało się do Twojego urządzenia przez złośliwy program pobierający. Atakujący używają programów pobierających złośliwe oprogramowanie, które często są w plikach ZIP. Po uruchomieniu wykorzystują luki w zabezpieczeniach systemu Windows, żeby zdobyć wysokie uprawnienia, a potem pobierają i instalują złośliwe oprogramowanie ChimeraWire z serwera zdalnego.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner może wykrywać i usuwać prawie wszystkie znane rodzaje złośliwego oprogramowania. Jednak zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, dlatego ważne jest, aby przeprowadzić pełne skanowanie systemu.
Udostępnij:
Facebook
X.com
LinkedIn
Skopiuj link
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję