Trojan Ave Maria

Znany również jako: Malware Ave Maria
Typ: Trojan
Dystrybucja: Niska
Poziom zniszczenia: Silny

Poradnik usuwania wirusa Ave Maria

Czym jest Ave Maria?

Ave Maria to trojan wysokiego ryzyka zaprojektowany do kradzieży różnych informacji i wywoływania „infekcji łańcuchowych" (rozsyłania innych infekcji). Zwykle rozprzestrzenia się za pomocą różnych kampanii spamowych. Przestępcy wysyłają tysiące zwodniczych e-maili zawierających zainfekowane załączniki, z których większość to pliki Microsoft Office (zazwyczaj Excel). Wiadomości e-mail są dostarczane z wiadomościami zachęcającymi użytkowników do otwarcia załączonego dokumentu, jednak powoduje to infiltrację Ave Maria.

Ave Maria malware

Jednym ze zbadanych przez nas e-maili było potwierdzenie zamówienia, które zawierało dołączoną „fakturę". Wiadomość twierdziła, że informacje dotyczące rodzaju zamówienia znajdują się w załączonym dokumencie i zachęcała użytkowników do jego przejrzenia. Powoduje to jednak infekcję malware. Ten konkretny e-mail został rzekomo wysłany przez pracownika firmy Mignon Sista International, jednak jest to zwodnicza taktyka - cyberprzestępcy często twierdzą, że są pracownikami popularnych firm lub agencji rządowych, aby sprawiać wrażenie bycia uzasadnionymi, ponieważ użytkownicy znacznie bardziej prawdopodobnie otworzą załączniki otrzymane od znajomych nazw. Twórcy tego wirusa często atakują małe firmy, a nie zwykłych użytkowników. Dlatego większość odbiorców to pracownicy/właściciele różnych firm. Nie oznacza to jednak, że zwykli użytkownicy są bezpieczni. Wirus Ave Maria służy do śledzenia informacji i zapisywania naciśnięć klawiszy ofiar. Infekcje te służą do zbierania danych osobowych, takich jak loginy/hasła (wiadomości e-mail, sieci społecznościowe itp.), informacji o kartach kredytowych itp. Kradzież takich informacji jest bardzo ryzykowna. Cyberprzestępcy mają na celu generowanie jak największego dochodu. W związku z tym prawdopodobnie wykorzystają skradzione konta. Jeśli uzyskają dostęp do rachunków bankowych, mogą ukraść wszystkie środki przelewem na swoje konta lub poprzez zakupy online. E-maile, portale społecznościowe i inne konta mogą być wykorzystywane do kradzieży tożsamości i wykonywania różnych szkodliwych działań (np. wysyłania malware do kontaktowania się ofiarami, proszenia kontaktów o pożyczenie pieniędzy itd.). Dodatkowo Ave Maria wprowadza do systemu więcej malware. W czasie badań Ave Maria był wykorzystany do rozsyłania innego złodzieja danych o nazwie LokiBot. Lista funkcji Ave Maria obejmuje jednak pobieranie i uruchamianie plików, co oznacza, że ​​sytuacja może (i prawdopodobnie będzie) ulec zmianie, a oszuści wykorzystają Ave Maria do rozsyłania innego złośliwego oprogramowania. Zazwyczaj trojany są wykorzystywane do rozsyłania ransomware i górników kryptowaluty. Konie trojańskie rozsyłają wirusy o podobnej funkcjonalności (jak w tym przypadku zarówno Ave Maria, jak i LokiBot są przeznaczone do kradzieży danych). Zazwyczaj trojany rozprzestrzeniają infekcje, które mają różne funkcje. Warto również wspomnieć, że w zależności od wariantu Ave Maria (wykonywalnego) jego nazwa procesu jest w Menedżerze Zadań Windows jest inna. Wiadomo jednak, że Ave Maria zazwyczaj ukrywa się za nazwami różnych oryginalnych procesów (np. "Firefox", "svchost.exe" itp.), aby ukryć swoją obecność. Co ciekawe, ikony procesów Ave Maria nie są oryginalne (np. ikona procesu "Firefox" jest raczej rozmytym kwadratem niż oryginalną ikoną, którą jest lis owinięty wokół globu). Pozwala to odróżnić fałszywe procesy. Ponadto, to złośliwe oprogramowanie ma na celu zmianę ustawień Windows Defender i uniemożliwienie mu skanowanie całego dysku, na którym są zainstalowane Windows (zazwyczaj jest to dysk C:). To dlatego, że pliki Ave Maria są ukryte w katalogu Windows (jest kilka duplikatów, jeden z nich jest ukryty w folderze "%APPDATA%" i dodaje wpis rejestru Windows. Poniżej możesz zobaczyć pełną listę funkcji Ave Maria. Podsumowując, posiadanie tego wirusa na komputerze może prowadzić do różnych problemów prywatności, strat finansowych i infekcji komputerowych wysokiego ryzyka. Jak wspomniano powyżej, proces Ave Maria można znaleźć w Menedżerze zadań Windows pod losową nazwą. Jeśli zauważysz podejrzane procesy i podejrzewasz obecność Ave Maria, natychmiast przeskanuj swój komputer za pomocą renomowanego oprogramowania antywirusowego/antyspyware i wyeliminuj wszystkie wykryte zagrożenia.

Podsumowanie zagrożenia:
Nazwa Malware Ave Maria
Typ zagrożenia Trojan, wirus kradnący hasła, malware bankowe, oprogramowanie szpiegujące
Nazwy wykrycia (chthonic.exe) Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.Agent.DSVM), ESET-NOD32 (wariant Win32/Kryptik.GRNX), Kaspersky (Trojan-Spy.Win32.AveMaria.hl), Pełna lista (VirusTotal)
Powiązane adresy IP 91.192.100.61:2580 (serwer zarządzania i kontroli [C&C]), 89.46.223.202 (URL pobrania Ave Maria)
Powiązane domeny maxibrainz[.]warzonedns[.]com:2580 (serwer zarządzania i kontroli [C&C] ), secured[.]icbegypt[.]com (URL pobrania Ave Maria)
Nazwa(y) złośliwych procesów apo.exe, Firefox, scvhost.exe - przebiera się za prawdziwy proces svchost.exe windows (zauważ, że drugi i trzeci znak są zamienione). Nazwa procesu zależy od wariantu Ave Maria (wykonywalnego).
Ładunek LokiBot trojan.
Objawy Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostawać cichymi, w wyniku czego na zainfekowanej maszynie nie ma widocznych jasnych objawów.
Metody dystrybucji Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, narzędzia łamania oprogramowania.
Zniszczenie Skradzione informacje bankowe, hasła, kradzież tożsamości, komputer ofiary dodany do botnetu.
Usuwanie

Aby wyeliminować Malware Ave Maria, nasi badacze malware zalecają przeskanowanie twojego komputera Malwarebytes.
▼ Pobierz Malwarebytes
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Malwarebytes. Dostępny jest 14-dniowy bezpłatny okres próbny.

Ave Maria dzieli wiele podobieństw z wieloma innymi wirusami trojańskimi, takimi jak TrickBot, Adwind, FormBook i Qakbot. Chociaż wirusy te są opracowywane przez różnych cyberprzestępców, wszystkie mają ten sam cel: kradzież danych osobowych. Ponadto, podobnie jak w przypadku Ave Maria, wirusy te są często dystrybuowane za pomocą kampanii spamowych. Stanowią one poważne zagrożenie dla prywatności i bezpieczeństwa finansowego użytkowników. Dlatego najważniejsze jest usunięcie takiego malware, jak Ave Maria.

Jak Ave Maria przeniknął do mojego komputera?

Jak wspomniano powyżej, Ave Maria jest rozsyłany za pomocą kampanii spamowych zawierających załączone złośliwe dokumenty MS Office. W większości przypadków format załącznika to Excel, który wykorzystuje lukę MS Office (nazwa kodowa CVE-2017-11882), aby wprowadzić Ave Maria do systemu. Jest to powszechna metoda dystrybucji trojanów, takich jak Ave Maria, jednak załącznik nie zawsze jest dokumentem MS Office - typ pliku może być inny (np. PDF, JavaScript, .exe, archiwum lub innym). W każdym przypadku konieczna jest interakcja użytkownika, aby złośliwe oprogramowanie przeniknęło do systemu. Użytkownik musi ręcznie uruchomić/otworzyć załącznik, w przeciwnym razie wirus nie może wejść do systemu.

Jak uniknąć instalacji złośliwego oprogramowania?

Aby zapobiec takiej sytuacji, zachowaj ostrożność podczas przeglądania Internetu. Pomyśl dwa razy przed otwarciem załączników do wiadomości e-mail. Jeśli nadawca wydaje się podejrzany/nierozpoznawalny lub dołączony link/plik jest nieistotny, nie otwieraj niczego. Pamiętaj, że przestępcy często próbują nadużywać ciekawości odbiorcy, wysyłając fałszywe wiadomości, takie jak „otrzymałeś paczkę", „wygrałeś loterię" itd. Niestety wielu użytkowników wierzy tym oszustwom, mając nadzieję, że otrzymali coś za darmo. Dlatego nigdy nie powinieneś ufać takim wiadomościom. Zainstaluj i uruchom renomowane oprogramowanie antywirusowe/antyszpiegowskie, ponieważ programy te często wykrywają i eliminują malware przed wyrządzeniem przez nie szkód. Brak wiedzy i nieostrożne zachowanie to główne przyczyny infekcji komputerowych. Kluczem do bezpieczeństwa jest ostrożność. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Malwarebytes, aby automatycznie wyeliminować infiltrujące malware.

Lista funkcji trojana Ave Maria:

  • Infiltracja aparatu
  • Czyszczenie
  • Wprowadzanie kodu
  • Pobranie i wykonanie
  • Zarządzanie plikami: tworzenie, pobieranie, infiltracja, usuwanie
  • Obsługa złodzieja danych:
    Firefox
    Foxmail
    Google Chrome
    Internet Explorer
    Outlook
    Thunderbird
  • Zapisywanie naciśnięć klawiszy offline
  • Wytrwałość
  • Eskalacja przywilejów, wsparcie z Windows 7 na Windows 10
  • Zarządzanie procesami: wyliczanie, zakończenie
  • RDP przy użyciu rdpwrap

Przykłady złośliwych procesów ("apo.exe" i "Firefox") Ave Maria w Menedżerze Zadań Windows:

Ave Maria trojan in Windows Task Manager - Firefox (sample 1) Ave Maria trojan in Windows Task Manager - apo.exe (sample 2)

Natychmiastowe automatyczne usunięcie Malware Ave Maria: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Malwarebytes to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Malware Ave Maria. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Malwarebytes Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Malwarebytes. Dostępny jest 14-dniowy bezpłatny okres próbny. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Malwarebytes. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

malicious process running on user's computer sample

Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

manual malware removal step 1 Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:

screenshot of autoruns application

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

 

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"

locate the malware file you want to remove

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

searching for malware file on your computer

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.

Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Malwarebytes.

Kliknij, aby opublikować komentarz

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Instrukcje usuwania w innych językach
Kod QR
Malware Ave Maria kod QR
Kod QR (Quick Response Code) to odczytywalny maszynowo kod, który przechowuje adresy URL oraz inne informacje. Kod ten może być odczytywany za pomocą kamery w smartfonie lub tablecie. Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Malware Ave Maria na swoim urządzeniu mobilnym.
Polecamy:

Pozbądź się Malware Ave Maria dzisiaj:

▼ USUŃ TO TERAZ za pomocą Malwarebytes

Platforma: Windows

Ocena redaktora dla Malwarebytes:
Wybitny!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Malwarebytes. Dostępny jest 14-dniowy bezpłatny okres próbny.