Hoe verwijdert u de WebMonitor RAT?
Geschreven door Tomas Meskauskas op (bijgewerkt)
Handleiding voor het verwijderen van WebMonitor
Wat is WebMonitor?
Tools voor toegang op afstand (RAT's) zijn een type software waarmee gebruikers andere computers (waarop de RAT is geïnstalleerd) op afstand kunnen bedienen. Software van dit type kan legitiem worden gebruikt (bijvoorbeeld om technische ondersteuning op afstand te bieden). Maar veel cybercriminelen gebruiken ook RAT's. Hiermee proberen ze toegang te krijgen tot gevoelige informatie, malware te installeren enz. WebMonitor is een RAT ontwikkeld door een bedrijf genaamd Revcode. Het wordt geadverteerd als een legitieme tool voor extern beheer waarmee gebruikers computers op afstand kunnen besturen via een webbrowser. Een aantal antivirusbedrijven klasseren WebMonitor echter als schadelijke software omdat het functies bevat die voornamelijk door cybercriminelen worden gebruikt. WebMonitor werd ook geadverteerd op hackerforums. Deze RAT is compatibel met Windows- en Android-besturingssystemen.
WebMonitor is te koop via zijn officiële website. Het heeft drie abonnementen: € 149,99 per jaar, € 99,99 per zes maanden en € 64,99 per drie maanden. WebMonitor is populair onder cybercriminelen omdat het compatibel is met software die malware kan versleutelen en vermommen zodat antivirusprogramma's het niet detecteren. WebMonitor kan ook voorkomen dat het besturingssysteem of antivirusprogramma's de gebruikers informeren over de installatie ervan. Bovendien is bekend dat WebMonitor wordt gebundeld met een Zoom-installatieprogramma. Met andere woorden, cybercriminelen gebruikten het installatieprogramma voor Zoom om gebruikers te misleiden zodat die WebMonitor op hun computers zouden installeren. Het is belangrijk om te vermelden dat WebMonitor niet de enige software is die werd (of nog steeds wordt) gedistribueerd via installatieprogramma's voor de Zoom-applicatie. In elk geval zijn Zoom-installatieprogramma's die zijn gebundeld met WebMonitor of andere software niet afkomstig van de officiële ontwikkelaars van de Zoom-app (die hun programma aanbieden via het Zoom Download Center, de Apple App Store of de Google Play Store).
Het is bekend dat de WebMonitor RAT kan worden gebruikt om toetsenbordinvoer te loggen, toegang te krijgen tot scherm, de webcam en de microfoon, om harde schijven te doorzoeken en om bestanden te downloaden, uploaden, uitvoeren, verwijderen, hernoemen en te bewerken). Het kan ook worden gebruikt om wachtwoorden van e-mailclients, messengers, het besturingssysteem of het netwerk te resetten, de webbrowser-activiteiten te registreren (zoals de browsegeschiedenis), gecachte afbeeldingen te bekijken, een lijst met geïnstalleerde add-ons en programma's op het besturingssysteem op te halen en die programma's te verwijderen. Net als veel andere RAT's kan WebMonitor ook worden gebruikt om opdrachten uit te voeren via de opdrachtprompt en PowerShell, om systeemprocessen te beheren, registervermeldingen toe te voegen, te bewerken of te verwijderen en het systeem op andere manieren te controleren of te bewaken. Zoals vermeld in de eerste paragraaf, gebruiken de meeste cybercriminelen RAT's om computers te infecteren met andere malware (zoals ransomware of trojans) of om persoonlijke informatie te stelen. De WebMonitor RAT kan hiervoor worden gebruikt, en nog veel meer. Het is goed om te weten dat RAT's voornamelijk worden gebruikt om gegevens te stelen, zoals creditcardgegevens en andere bankgerelateerde informatie, inloggegevens (gebruikersnamen, e-mailadressen, wachtwoorden), burgerservicenummers en andere persoonlijke gegevens. Als u dus enige reden hebt om te vermoeden dat WebMonitor is geïnstalleerd op uw besturingssysteem (en u dit niet zelf hebt gedaan), dan moet u deze software zo snel mogelijk weer verwijderen.
Naam | De WebMonitor-tool voor toegang op afstand |
Type bedreiging | Trojan, virus dat wachtwoorden steelt, online banking malware, spyware. |
Detectienamen | Avast (Win32:RATX-gen [Trj]), BitDefender (Trojan.GenericKD.36643385), ESET-NOD32 (een variant van MSIL/Kryptik.AAHN), Kaspersky (HEUR:Trojan.MSIL.Taskun.gen), Microsoft (Trojan:MSIL/Stealer.MS!MTB), volledige lijst (VirusTotal) |
Naam van het kwaadaardige proces | Brett Tech OS (de naam kan verschillen) |
Symptomen | Trojans zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en zich verborgen te houden, en dus zijn er geen specifieke symptomen duidelijk zichtbaar op de geïnfecteerde computer. |
Distributiemethodes | Besmette bijlagen in e-mails, kwaadaardige online advertenties, social engineering, software-'cracks'. |
Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, computer van slachtoffers worden toegevoegd aan een botnet. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Met andere woorden, cybercriminelen kunnen geld verdienen met WebMonitor door een cryptocurrency-miner, ransomware, een online banking-trojan of andere malware te installeren, persoonlijke accounts en identiteiten te stelen, gestolen gegevens te gebruiken om frauduleuze transacties en aankopen uit te voeren, malware op andere apparaten te verspreiden, enzovoort. Het is goed om te weten dat niet alle RAT's legitiem zijn (of op zijn minst als zodanig worden geadverteerd). Kwaadaardige RAT's noemen we ook "remote access trojans". Enkele voorbeelden van kwaadaardige RAT's zijn: Xtreme, Spectre en DarkCrystal.
Hoe besmette WebMonitor mijn computer?
Het is bekend dat cybercriminelen een niet-officieel Zoom-installatieprogramma gebruikten (of nog steeds gebruiken) om WebMonitor te verspreiden. Meestal worden niet-officiële installatieprogramma's verspreid via niet-officiële websites, peer-to-peer-netwerken (bijv. torrent-clients, eMule), bepaalde freeware-downloadpagina's, gratis bestandshostingwebsites en andere dubieuze bronnen voor het downloaden van bestanden en programma's. Cybercriminelen verspreiden WebMonitor ook via spammails. Uit onderzoek blijkt dat ze e-mails gebruiken die zijn vermomd als berichten van Empros Lines Shipping Company met betrekking tot een achterstallige factuur. Aan die e-mails is een archiefbestand toegevoegd dat een uitvoerbaar bestand bevat dat is ontworpen om WebMonitor te installeren. De kans is echter groot dat er verschillende phishing-e-mails worden gebruikt om WebMonitor te verspreiden. Andere varianten kunnen worden vermomd als e-mails van allerlei bedrijven en met verschillende onderwerpen. Vaak bevatten ze een kwaadaardig Microsoft Office of pdf-document, een JavaScript-bestand enz.
Hoe voorkomt u de installatie van malware?
Bijlagen en links in irrelevante e-mails die werden verzonden door onbekende, verdachte afzenders mogen niet worden geopend. Dit soort e-mails bevatten vaak kwaadaardige links of bijlagen. Software en bestanden moeten worden gedownload van officiële websites en via directe links. Andere bronnen en tools worden dikwijls gebruikt om kwaadaardige bestanden / programma's te verspreiden. Geïnstalleerde software moet worden bijgewerkt met tools of functies die de officiële ontwikkelaars bieden. Als een geïnstalleerd programma niet gratis is en moet worden geactiveerd, dan moet u dit op de correcte manier doen. Het is nooit veilig om software bij te werken of te activeren met tools van derden, want deze zijn meestal schadelijk. Het is ook niet legaal om gelicentieerde software te activeren met dit soort tools ('cracks'), en uiteraard is het ook niet legaal om illegale software te gebruiken. Nog een manier om computers te beschermen, is door ze regelmatig te scannen met behulp van een gerenommeerde antivirus- of antispywaresoftware en alle gedetecteerde bedreigingen zo snel mogelijk te verwijderen. De geïnstalleerde beveiligingsoplossing moet up-to-date zijn. Als u denkt dat uw computer al is geïnfecteerd, dan raden we u aan een scan uit te voeren met Combo Cleaner om de geïnfiltreerde malware automatisch te verwijderen.
Phishing-e-mail die wordt gebruikt om WebMonitor te verspreiden:
Tekst in deze e-mail:
Subject: RE: OVERDUE INVOICE
Why haven't you remitted the payment for the Invoice in attachment. This invoice is long overdue.
Brgds/Greg Kontouzoglou
Empros Lines - Liner Dpt
email: gkontouzoglou@emproslines.com
dir: +30 210 8125535
mob: +30 694 898 0698
skype: greg.kontouzoglou
CONFIDENTIALITY. This email and any attachments are confidential and may also be legally privileged. It is intended solely for the stated addressee(s). If you are not the addressee, you must not disclose the contents to another person or use this email for any purpose whatsoever. Instead, please notify the sender by return email and delete this email (including any attachments) from your computer system------------------------------------------------------
EMPROS LINES SHIPPING COMPANY S.A.
Screenshot van de promotiewebsite van WebMonitor:
Screenshot van WebMonitor als "Brett Tech OS" (de naam kan verschillen) in Taakbeheer:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is WebMonitor?
- STAP 1. De WebMonitor malware handmatig verwijderen.
- STAP 2. Controleren of uw computer virusvrij is.
Hoe malware handmatig verwijderen?
Handmatig verwijderen van malware is een gecompliceerde taak, meestal is het beter om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, moet u eerst de naam kennen van de malware die u probeert te verwijderen. Hier een voorbeeld van een verdacht programma dat op de computer van de gebruiker wordt uitgevoerd:
Als u de lijst met programma's op uw computer hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer en een programma hebt geïdentificeerd dat er verdacht uitziet, gaat u verder met de volgende stappen:
Download het programma Autoruns. Dit programma toont toepassingen die automatisch starten, register- en bestandssysteemlocaties:
Herstart uw computer in Veilige Modus:
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk F5 om in Veilige Modus met netwerk te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.
Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":
Pak het archiefbestand uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-applicatie bovenaan op "Opties" en verwijder de vinkjes bij "Hide Empty Locations" en "Hide Windows Entries". Na deze procedure klikt u op het pictogram "Refresh".
Controleer de lijst van de Autoruns-applicatie en zoek het malwarebestand uit dat u wilt verwijderen.
Schrijf het volledige pad en de naam op. Merk op dat sommige malware de procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u 'Delete'.
Nadat u de malware hebt verwijderd via de Autoruns-applicatie (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende opstart van het systeem), moet u de malwarenaam op uw computer zoeken. Zorg dat u verborgen mappen en bestanden inschakelt voordat u doorgaat. Als u het bestand van de malware vindt, verwijder het dan.
Start uw computer opnieuw op in normale modus. Door deze stappen te volgen, kunt u eventuele malware van uw computer verwijderen. Merk op dat voor het handmatig verwijderen van malware een grondige computerkennis noodzakelijk is. Het wordt daarom aanbevolen om de verwijdering van malware over te laten aan antivirus- en antimalwareprogramma's. Deze stappen werken mogelijk niet met geavanceerde malware-infecties. Zoals altijd is het beter om besmettingen te voorkomen dan achteraf malware te moeten verwijderen. Om ervoor te zorgen dat uw computer veilig blijft, moet u steeds de meest recente updates van het besturingssysteem installeren en antivirussoftware gebruiken.
Om zeker te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner.
▼ Toon discussie