Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest malware NANOREMOTE?
NANOREMOTE to backdoor - rodzaj malware, który otwiera ukryty kanał na zainfekowanym komputerze, dzięki czemu atakujący mogą wydawać polecenia i dostarczać dodatkowe ładunki w dowolnym momencie. Według badań Elastic Security Labs, NANOREMOTE jest częścią kampanii zagrożeń REF7707 i jest ściśle powiązany z innym implantem z tej samej rodziny o nazwie FINALDRAFT.
Po aktywacji NANOREMOTE pozwala operatorom uruchamiać polecenia powłoki, zarządzać plikami, ładować programy do pamięci oraz przesyłać dane do i z zainfekowanej maszyny. Komunikację kieruje przez usługi Google, co pomaga w ukryciu ruchu sieciowego wśród legalnej aktywności.
Więcej o NANOREMOTE
NANOREMOTE jest zwykle wdrażany przez komponent ładujący o nazwie WMLOADER. WMLOADER podszywa się pod legitymowy plik Bitdefender o nazwie BDReinit.exe, łącznie ze sfałszowanym podpisem cyfrowym. Po uruchomieniu odszyfrowuje ładunek NANOREMOTE z zaszyfrowanego pliku o nazwie wmsetup.log, a następnie ładuje go do pamięci za pomocą wbudowanego shellcode.
Do komunikacji z serwerem dowodzenia i kontroli NANOREMOTE wykorzystuje interfejs API Google Drive. Uwierzytelnia się za pomocą tokenów OAuth 2.0 osadzonych w konfiguracji i wysyła regularne żądania beacon do serwerów Google. Ponieważ połączenia te kierowane są do dobrze znanej, zaufanej platformy, narzędziom bezpieczeństwa trudniej jest oznaczyć je jako podejrzane.
Cały ruch jest kompresowany za pomocą Zlib, a następnie szyfrowany algorytmem AES-CBC przed wysłaniem. Każde żądanie ma ustrukturyzowany format JSON, który zawiera identyfikator maszyny, identyfikator polecenia i ładunek danych.
Możliwości NANOREMOTE
Elastic Security Labs zidentyfikowało 22 procedury obsługi poleceń wbudowane w NANOREMOTE, dające operatorom szeroką kontrolę zdalną nad zainfekowanym systemem. Polecenia te obejmują zarządzanie plikami, wykonywanie kodu, transfer danych i rozpoznanie systemu.
Polecenia związane z plikami pozwalają operatorom wyświetlać katalogi, nawigować po systemie plików oraz tworzyć, usuwać i przenosić pliki. Operatorzy mogą również wyliczać podłączone dyski pamięci masowej oraz kolejkować przesyłanie i pobieranie plików, z obsługą wstrzymywania i wznawiania transferów. Każdy transfer jest weryfikowany sumą kontrolną MD5.
Po stronie wykonywania NANOREMOTE zawiera niestandardowy loader PE, który może uruchamiać programy z dysku lub wykonywać pliki binarne w pamięci z ładunków zakodowanych w Base64, całkowicie omijając standardowy loader Windows. Polecenia powłoki mogą być również wydawane i wykonywane przez uruchomione procesy.
Przy starcie malware zbiera podstawowe informacje o systemie - adresy IP maszyny, nazwę hosta, nazwę użytkownika, wersję systemu operacyjnego oraz informację, czy bieżący użytkownik ma uprawnienia administratora.
Trwałość i unikanie wykrywania
NANOREMOTE wykorzystuje bibliotekę Microsoft Detours do przechwytywania kluczowych funkcji systemowych, takich jak GetStdHandle i ExitProcess. Zapobiega to awarii całego procesu przez pojedynczy niesprawny wątek, co pomaga malware działać nawet wtedy, gdy poszczególne komponenty napotykają błędy.
Wbudowany niestandardowy loader PE omija haki, które produkty zabezpieczające punkty końcowe zazwyczaj umieszczają na standardowym loaderze Windows. Utrudnia to oprogramowaniu ochronnemu wykrywanie nowo załadowanych plików wykonywalnych w czasie wykonywania.
NANOREMOTE instaluje również ogólnoprocesowy moduł obsługi awarii, który generuje pliki minidump Windows. Elastic Security Labs zauważyło, że malware tworzy lokalny katalog o nazwie Log i zapisuje szczegółową aktywność do pliku o nazwie pe_exe_run.log, co sugeruje, że zostało zaprojektowane z myślą o rozwiązywaniu problemów po stronie operatora.
| Nazwa | NANOREMOTE malware |
| Typ Zagrożenia | Backdoor, Trojan |
| Nazwy Wykrycia | Avast (Win64:Malware-gen), Combo Cleaner (Trojan.Generic.39346873), ESET-NOD32 (Win64/Agent.HWR Trojan), Kaspersky (Trojan-Downloader.Win64.Agent.dur), Microsoft ( Trojan:Win32/Malgent!MSR ), Pełna Lista (VirusTotal) |
| Objawy | Backdoory są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego na zainfekowanej maszynie nie widać żadnych szczególnych objawów. |
| Metody Dystrybucji | Trojanizowane oprogramowanie, celowa dostarczanie za pomocą loadera (WMLOADER). |
| Szkody | Zdalny dostęp do zainfekowanego systemu, eksfiltracja danych przez Google Drive, uruchamianie dodatkowego malware, kradzież tożsamości. |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Podsumowanie
NANOREMOTE daje atakującym trwały, ukryty dostęp do zainfekowanego komputera i obsługuje szeroki zakres zdalnych operacji - od wykonywania poleceń i ładowania dodatkowego malware po eksfiltrację plików przez Google Drive.
Powiązanie z kampanią REF7707 sugeruje, że jest częścią ukierunkowanego, starannie skoordynowanego ataku. Malware powinno zostać natychmiast usunięte z każdego dotkniętego systemu.
Więcej przykładów backdoorów to A0Backdoor, YiBackdoor i Anubis.
W jaki sposób NANOREMOTE przeniknął do mojego komputera?
Według Elastic Security Labs, NANOREMOTE jest dostarczany przez loader o nazwie WMLOADER. WMLOADER podszywa się pod legitymowy komponent Bitdefender - BDReinit.exe - ale posiada nieprawidłowy podpis cyfrowy. Po uruchomieniu odszyfrowuje ładunek NANOREMOTE z pliku o nazwie wmsetup.log i ładuje go do pamięci.
Elastic Security Labs powiązało NANOREMOTE z kampanią REF7707, przy czym wczesne próbki wykazywały aktywność pochodzącą z Filipin w październiku 2025 roku. Malware współdzieli klucz szyfrowania i kilka wzorców kodu z implantem FINALDRAFT, co wskazuje, że oba pochodzą z tego samego projektu deweloperskiego i prawdopodobnie od tego samego aktora zagrożeń.
Ogólnie rzecz biorąc, trojany i backdoory są rozprzestrzeniane wieloma kanałami: wiadomości phishingowe ze złośliwymi załącznikami, fałszywe strony pobierania oprogramowania, złośliwe reklamy, skompromitowane strony internetowe, pirackie oprogramowanie i zainfekowane nośniki wymienne.
Jak uniknąć instalacji malware?
Należy zachować ostrożność w przypadku niechcianych wiadomości e-mail, zwłaszcza tych zawierających załączniki lub linki - nawet jeśli nadawca wydaje się znajomy. Oprogramowanie należy pobierać wyłącznie z oficjalnych źródeł i unikać cracków, generatorów kluczy i pirackich treści. System operacyjny i wszystkie zainstalowane programy powinny być aktualizowane, ponieważ aktualizacje często zamykają luki bezpieczeństwa wykorzystywane przez atakujących.
Należy unikać klikania wyskakujących reklam i powiadomień przeglądarki z nieznanych stron oraz korzystać z renomowanego programu zabezpieczającego z włączoną ochroną w czasie rzeczywistym. Regularne skanowanie systemu jest zalecane. Jeśli uważają Państwo, że komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows w celu automatycznego usunięcia infiltrującego malware.
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest NANOREMOTE?
- KROK 1. Ręczne usuwanie malware NANOREMOTE.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem - zazwyczaj лучше позволить najlepiej jest pozwolić programom antywirusowym lub antymalware wykonać to automatycznie. Aby usunąć to malware, zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcą Państwo usunąć malware ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy malware, które próbują Państwo usunąć. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdzili Państwo listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowali podejrzany program, należy kontynuować wykonując następujące kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, lokalizacje rejestru i systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Zaawansowane opcje systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Komputer uruchomi się ponownie, wyświetlając „Menu zaawansowanych opcji uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień uruchamiania. Naciśnij F5, aby uruchomić w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", następnie wybierz „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie należy kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po tej procedurze kliknij ikonę „Refresh".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik malware, który chcesz usunąć.
Należy zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre malware ukrywa nazwy procesów pod legitymowymi nazwami procesów Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwie i wybierz „Delete".
Po usunięciu malware za pomocą aplikacji Autoruns (gwarantuje to, że malware nie uruchomi się automatycznie przy następnym starcie systemu), należy wyszukać nazwę malware na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz nazwę pliku malware, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć malware z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadają Państwo tych umiejętności, usuwanie malware należy pozostawić programom antywirusowym i antymalware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest zapobiegać infekcjom, niż próbować później usuwać malware. Aby komputer był bezpieczny, należy instalować najnowsze aktualizacje systemu operacyjnego i używać oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji malware, zalecamy skanowanie za pomocą Combo Cleaner Antivirus dla Windows.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware NANOREMOTE, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Formatowanie usuwa NANOREMOTE, ale również kasuje wszystkie pliki na dysku. Najpierw należy wypróbować zaufane narzędzie bezpieczeństwa, takie jak Combo Cleaner, ponieważ może ono usunąć infekcję bez utraty danych osobowych.
Jakie są największe problemy, które może powodować malware NANOREMOTE?
NANOREMOTE daje atakującym pełną zdalną kontrolę nad zainfekowanym systemem. Może to prowadzić do kradzieży danych, uruchamiania dodatkowego malware, całkowitej utraty kontroli nad komputerem, a z czasem - do kradzieży tożsamości i oszustw finansowych.
Jaki jest cel malware NANOREMOTE?
Celem NANOREMOTE jest zapewnienie atakującym trwałego, ukrytego dostępu do zainfekowanej maszyny. Operatorzy mogą uruchamiać polecenia, zarządzać plikami, ładować dodatkowe programy do pamięci i eksfiltrować dane przez Google Drive, pozostając cały czas poza zasięgiem wzroku.
W jaki sposób malware NANOREMOTE przeniknął do mojego komputera?
NANOREMOTE jest dostarczany przez loader o nazwie WMLOADER, który podszywa się pod legitymowy plik Bitdefender. Został powiązany z kampanią REF7707. Ogólnie rzecz biorąc, backdoory docierają do ofiar również przez wiadomości phishingowe, fałszywe strony pobierania oprogramowania, pirackie treści i skompromitowane strony internetowe.
Czy Combo Cleaner ochroni mnie przed malware?
Tak. Combo Cleaner potrafi wykryć i usunąć większość znanego malware, w tym backdoory i trojany. Ponieważ zagrożenia takie jak NANOREMOTE są zaprojektowane tak, aby głęboko ukrywać się w systemie, uruchomienie pełnego skanowania jest ważne, aby upewnić się, że nic nie zostało przeoczone.
Udostępnij:
Facebook
X.com
LinkedIn
Skopiuj link
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję