Verwijderingsinstructies voor ChromeLoader malware
Geschreven door Tomas Meskauskas op
Wat is ChromeLoader?
ChromeLoader werd voor het eerst geanalyseerd door x3ph, en later door G-Data onderzoekers aangeduid als Choziosi loader. Deze malware is ontworpen om kwaadaardige extensie(s) te installeren op browsers. Momenteel zijn er twee verschillende varianten van ChromeLoader gedetecteerd - één gericht op Windows-besturingssystemen en een andere op Mac-besturingssystemen.
Het is opmerkelijk dat deze kwaadaardige software actief is verspreid via Twitter in de vorm van QR-codes waarmee illegale software (voornamelijk videogames) en media (films/televisie) worden gepromoot.
ChromeLoader malware overzicht
Zoals vermeld in de inleiding, is ChromeLoader bedoeld om kwaadaardige extensies te installeren op browsers. De waargenomen infectieketen begon met Tweets (Twitter-posts) waarin reclame werd gemaakt voor illegale inhoud via QR-codes (gepresenteerd in meme-formaat) waarmee slachtoffers werden verleid tot het downloaden van een ISO-bestand.
Onderzoekers van G-Data voerden een diepgaande analyse uit van deze loader en de kwaadaardige extensie. Hun onderzoek bracht aan het licht dat het ISO-bestand uit twee componenten bestaat - "_meta.txt" en "downloader.exe". De eerste bevat een versleuteld PowerShell script, terwijl de tweede wordt gebruikt om het te ontsleutelen.
De PowerShell creëert een taak met de naam "ChromeTask" (kan variëren), die is gepland om elke tien minuten te worden uitgevoerd. Het PowerShell script downloadt ook de kwaadaardige Google Chrome browser extensie "archive.zip". Als gevolg van de taakherhaling hebben sommige slachtoffers van deze malware echter gemeld dat hun Chrome-browsers zichzelf voortdurend afsluiten (wat een onoplettendheid is die waarschijnlijk een snellere detectie van ChromeLoader bevordert).
Het is opmerkelijk dat "downloader.exe" gebruikers een waarschuwing kan tonen waarin staat dat het besturingssysteem niet compatibel is met de software.
De analyse van G-Data richtte zich op de schadelijke browserextensie omdat deze nog niet eerder grondig was onderzocht. De Chrome-extensie is zwaar vermomd, wat de analyse bemoeilijkt.
Deze software maakt gebruik van technieken die de persistentie waarborgen; het ontzegt gebruikers met name de toegang tot de lijst met Google Chrome-extensies ("chrome://extensions/") door ze om te leiden naar de algemene instellingen ("chrome://settings") - waardoor ze de kwaadaardige extensie niet kunnen verwijderen.
De functionaliteiten van de Chrome-extensie werden onthuld als adware en browser hijacker activiteit. Met andere woorden, deze malware is gericht op het weergeven van misleidende advertenties en het wijzigen van browserinstellingen om omleidingen naar nep-zoekmachines te veroorzaken (mogelijk eindigend met legitieme zoekmachines zoals Google, Yahoo, Bing, enz.)
Het gebruik van PowerShell en uitgebreide vermomming is ongebruikelijk voor adware en browser hijackers, maar het is standaard voor informatie stelende programma's, spyware, en andere malware. Het is echter niet onwaarschijnlijk dat ChromeLoader nog steeds in ontwikkeling is en zal worden bijgewerkt met extra schadelijke functionaliteiten. Hoe dan ook, ChromeLoader vormt in zijn huidige vorm nog steeds een aanzienlijke bedreiging.
Het onderzoek dat werd uitgevoerd door Colin Cowie, stelde vast dat de Mac-versie van ChromeLoader op dezelfde manier werkt als de Windows-variant (d.w.z. advertenties toont, omleidingen veroorzaakt). Wat opvalt aan deze versie is dat het kwaadaardige extensies kan installeren op zowel Google Chrome- als Safari-browsers.
Als u vermoedt dat uw toestel geïnfecteerd is met ChromeLoader malware, raden we u ten stelligste aan een anti-virus te gebruiken om het onmiddellijk te verwijderen.
| Naam | ChromeLoader virus |
| Type bedreiging | Ongewenste advertenties, Pop-up advertenties, Ongewenste omleidingen |
| Detectienamen (ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.98155), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:MSIL/Tnega!mclg), volledige lijst van detecties (VirusTotal) |
| Detectienamen (EXE binnen ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.38585118), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:Win32/Tnega!ml), volledige lijst van detecties (VirusTotal) |
| Detectienamen (Mac variant) | Avast (MacOS:Agent-TJ [Trj]), Combo Cleaner (Adware.MAC.Chropex.B), GData (Adware.MAC.Chropex.B), Kaspersky (Not-a-virus:HEUR:AdWare.OSX.Agent.ag), volledige lijst van detecties (VirusTotal) |
| Symptomen | Advertenties zien die niet afkomstig zijn van de sites waar u surft. Opdringerige pop-up advertenties. Verminderde snelheid bij het surfen op internet. Gemanipuleerde Internet browser instellingen. Gebruikers worden gedwongen om de website van de kaper te bezoeken en te zoeken op het internet met behulp van hun zoekmachines. |
| Verspreidingmethodes | Misleidende pop-upadvertenties, valse beweringen op bezochte websites, mogelijk ongewenste toepassingen (adware) |
| Schade | Verminderde computer prestaties, browser tracking - privacy problemen, mogelijke extra malware infecties. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Adware en browser hijacker voorbeelden
ChromeLoader heeft reclame-ondersteunde en browser-hijacker software functionaliteiten. Normaal gesproken gebruiken programma's binnen de adware/ browser hijacker classificaties niet zulke geavanceerde technieken als ChromeLoader (wat zou kunnen betekenen dat deze malware bedoeld is om aanvullende kwaadaardige functies te hebben zoals gegevensdiefstal, spionage, etc.).
To Go Web, Keep Secure Search, Tap togo zijn een paar voorbeelden van gewone browser hijackers die we hebben geanalyseerd, en nep Google Translate extensie, Files Download Now, Down Assist - of adware.
Merk op dat ongeacht hoe een kwaadaardig programma werkt, de aanwezigheid ervan op een systeem de veiligheid van het apparaat of de gebruiker in gevaar brengt. Daarom moeten alle bedreigingen onmiddellijk na detectie worden verwijderd.
Hoe heeft ChromeLoader mijn computer geïnfiltreerd?
Zoals eerder beschreven, is ChromeLoader met name verspreid via Tweets die illegale inhoud promoten (d.w.z. illegale videogames, bewerkingssoftware, films, tv-series, enz.) via QR-codes die zijn ontworpen om gebruikers te verleiden tot het downloaden van een infectieus ISO-bestand.
Het is echter mogelijk dat de ChromeLoader-malware ook op andere platforms wordt verspreid en mogelijk ook onder andere vermommingen.
Malware wordt doorgaans verspreid via verschillende technieken; phishing en social engineering worden veel gebruikt bij de verspreiding van kwaadaardige software. Virusbestanden kunnen archieven, uitvoerbare bestanden, PDF- en Microsoft Office-documenten, JavaScript, enz. zijn. Zodra een kwaadaardig bestand wordt geopend, wordt de infectieketen in gang gezet.
De meest voorkomende methoden voor de verspreiding van malware zijn: drive-by (stealthy en misleidende) downloads, spam e-mails/berichten, online scams, freeware en downloadwebsites van derden, P2P-sharingnetwerken (bijv. Torrent-clients, eMule, enz.), illegale programma-activeringstools ("cracks"), nepupdates en malvertising.
Hoe voorkom ik de installatie van malware?
Wij raden u aan voorzichtig te zijn bij het surfen, omdat onwettige en kwaadaardige inhoud onschadelijk lijkt te zijn. Bovendien raden wij aan om alleen te downloaden van officiële en geverifieerde bronnen.
Het is net zo belangrijk om software te activeren en bij te werken met functies/tools van echte ontwikkelaars, aangezien die van derden malware kunnen bevatten.
Een andere aanbeveling is om inkomende e-mail met zorg te benaderen. De bijlagen en koppelingen in verdachte/irrelevante e-mails en berichten - mogen niet worden geopend, aangezien dat kan leiden tot een systeeminfectie.
We moeten benadrukken hoe belangrijk het is om een betrouwbaar anti-virus te installeren en up-to-date te houden. Beveiligingsprogramma's moeten worden gebruikt om regelmatig systeemscans uit te voeren en bedreigingen en problemen te verwijderen. Als u denkt dat uw computer al geïnfecteerd is, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Schermafbeelding van de inhoud van het ChromeLoader ISO-bestand:
Foutbericht dat wordt weergegeven wanneer ChromeLoader wordt uitgevoerd:
Snelmenu:
- Wat is ChromeLoader?
- STAP 1. Verwijder de adware toepassingen via het Configuratiescherm.
- STAP 2. Verwijder malafide plug-ins uit Google Chrome.
- STAP 3. Verwijder adware-type extensies uit Mozilla Firefox.
- STAP 4. Verwijder schadelijke extensies uit Safari.
- STAP 5. Verwijder malafide plug-ins van Microsoft Edge.
Adware verwijderen:
Windows 10 gebruikers:
Klik rechts in de linkerbenedenhoek, in het Snelle Toegang-menu selecteer Controle Paneel. In het geopende schem kies je Programma's en Toepassingen.
Windows 7 gebruikers:
Klik Start ("het Windows Logo" in de linkerbenedenhoek van je desktop), kies Controle Paneel. Zoek naar Programma's en toepassingen.
macOS (OSX) gebruikers:
Klik op Finder, in het geopende scherm selecteer je Applicaties. Sleep de app van de Applicaties folder naar de Prullenbak (die zich in je Dock bevindt), klik dan rechts op het Prullenbak-icoon en selecteer Prullenbak Leegmaken.
Zoek in het venster met de verwijderingsprogramma's naar ongewenste toepassingen, selecteer deze vermeldingen en klik op "Verwijderen" of "Uninstall".
Nadat u de ongewenste toepassing hebt verwijderd, scant u uw computer op resterende ongewenste onderdelen of mogelijke malware-infecties. Gebruik aanbevolen malwareverwijderingssoftware om uw computer te scannen.
Verwijder adware van Internet browsers:
Video die toont hoe ongewenste add-ons voor de browser te verwijderen:
Verwijder schadelijke extensies uit Google Chrome:
Klik op het menupictogram van Google Chrome 
(in de rechterbovenhoek van Google Chrome), selecteer "Meer tools" en klik op "Extensies". Zoek onlangs geïnstalleerde verdachte browser add-ons en verwijder ze.
Optionele methode:
Als je problemen hebt met het verwijderen van chromeloader virus, reset dan de instellingen van je Google Chrome browser. Klik op het Chrome menu icoon (in de rechterbovenhoek van Google Chrome) en selecteer Instellingen. Scroll naar onder. Klik op de link Geavanceerd....
Nadat je helemaal naar benden hebt gescrolld klik je op Resetten (Instellingen terugzetten naar de oorspronkelijke standaardwaarden)-knop.
In het geopende scherm, bevestig dat je de Google Chrome instellingen wilt resetten door op de 'resetten'-knop te klikken.
Verwijder schadelijke plug-ins uit Mozilla Firefox:
Klik op het Firefox menu icoon 
(in de rechterbovenhoek van het hoofdvenster), selecteer "Add-ons". Klik op "Extensies", in het geopende venster, verwijder alle recentelijk geïnstalleerde verdachte browser plug-ins.
Optionele methode:
Computergebruikers die problemen blijven hebben met het verwijderen van chromeloader virus kunnen de Mozilla Firefox instellingen naar standaard herstellen.
Open Mozilla Firefox, in de rechterbovenhoek van het hoofdvenster klik je op het Firefox menu , in het geopende keuzemenu kies je het Open Help Menu-icoon 
Klik dan op Probleemoplossing-informatie.
In het geopende scherm klik je op de Firefox Herstellen knop.
In het geopende scherm bevestig je dat je de Mozilla Firefox instellingen naar Standaard wil herstellen door op de Herstellen-knop te klikken.
Verwijder kwaadaardige extensies uit Safari:
Verzeker je ervan dat je Safari browser actief is en klik op het Safari menu, selecteer dan Voorkeuren…
In het Voorkeuren-venster selecteer je de Extensies-tab. Zoek alle recent geïnstalleerde en verdachte extensies en verwijder deze.
In het voorkeuren-venster selecteer je het Algemeen-tabblad en verzeker je je ervan dat je startpagina staat ingesteld op de URL van je voorkeur, als het gewijzigd werd door een browser hijacker kan je dit hier terug aanpassen.
In het voorkeuren-venster selecteer je het Zoeken-tabblad en verzeker je je ervan dat je favoriete internet-zoekmachine geselecteerd werd.
Optionele methode:
Verzeker je ervan dat je Safari browser actief is en klik op het Safari-menu. In het keuzemenu selecteer je Geschiedenis en Website Data verwijderen…
In het geopende scherm seleceer je alle geschiedenis en klik je op de Geschiedenis Verwijderen-knop.
Kwaadaardige extensies verwijderen uit Microsoft Edge:
Klik op het Edge menu-icoon 
(in de rechterbovenhoek van Microsoft Edge), selecteer "Extensies". Zoek naar recent geïnstalleerde en verdachte browser add-ons, en verwijder ze.
De startpagina en nieuwe tabbladen wijzigen:
Klik op het Edge menu-icoon (in de rechterbovenhoek van Microsoft Edge), selecteer "Instellingen". In het onderdeel "Bij het opstarten" zoekt u de naam van de browserkaper en klikt u op "Uitschakelen".
Uw standaard zoekmachine wijzigen:
Om uw standaard zoekmachine te wijzigen in Microsoft Edge: klik op het Edge menu-icoon (in de rechterbovenhoek van Microsoft Edge), selecteer "Privacy en diensten", scroll naar onder en selecteer "Adresbalk". In het onderdeel "Zoekmachines gebruikt in de zoekbalk" zoekt u de naam van de ongewenste zoekmachine. Als u die hebt gevonden klikt u op de "Uitschakelen"-knop daarnaast. U kunt ook klikken op "Zoekmachines beheren", om in het geopende menu de ongewenste zoekmachine terug te vinden. Klik op het puzzel-icoon 
daarnaast en selecteer "Uitschakelen".
Optionele methode:
Als u problemen bljft ondervinden met het verwijderen van de chromeloader virus, herstel dan uw Microsoft Edge browserinstellingen. Klik op het Edge menu-icoon (in de rechterbovenhoek van Microsoft Edge) en selecteer Instellingen.
In het geopende menu selecteert u Opnieuw instellen.
Selecteer Instellingen naar hun standaardwaarden herstellen. In het geopende scherm bevestigt u dat u de Microsoft Edge-instellingen naar hun standaardwaarden wilt herstellen door op de knop Opnieuw instellen te klikken.
- Als dit niet helpt, volg dan deze alternatieve instructies waarin wordt uitgelegd hoe de Microsoft Edge browser te herstellen.
Samenvatting:
Een browser hijacker is een soort adware die de instellingen van de internetbrowsers van gebruikers wijzigt door de startpagina en standaard zoekmachine toe te wijzen aan een ongewenste website. Meestal infiltreert dit soort adware de besturingssystemen van de gebruiker via gratis software downloads. Als je download beheerd wordt door een download cliënt, verzeker je er dan van de installatie van geadverteerde werkbalken of applicaties te weigeren als deze je startpagina of standaard zoekmachine willen wijzigen.
Hulp bij de verwijdering:
Als je problemen ervaart bij het verwijderen van chromeloader virus uit je internet browsers, vraag dan om hulp in ons malware verwijderingsforum.
Post een commentaar:
Als je bijkomende informatie hebt over chromeloader virus of z'n verwijdering, gelieve dan je kennis te delen in de onderstaande commentaren.
Bron: https://www.pcrisk.com/removal-guides/23957-chromeloader-malware
Veelgestelde vragen (FAQ)
Wat is het doel van ChromeLoader-malware?
ChromeLoader is ontworpen om kwaadaardige extensies te installeren op de browsers van slachtoffers. Op het moment van onderzoek vertoonde de browserextensie van ChromeLoader adware- en browserkaper-kwaliteiten. Met andere woorden, het vertoonde advertenties en veranderde browserinstellingen om omleidingen te veroorzaken. Omdat ChromeLoader nogal ingewikkeld in elkaar zit, is het mogelijk dat dit schadelijke programma wordt bijgewerkt met meer schadelijke functies (bijv. stelen van gevoelige gegevens, registratie van informatie, enz.)
Wat zijn de bedreigingen van adware en browser hijacker infecties?
Browser hijackers wijzigen browserinstellingen (en kunnen hardnekkige tactieken gebruiken om te voorkomen dat gebruikers deze instellingen openen/wijzigen) om omleidingen naar valse zoekmachines te veroorzaken. De omleidingen kunnen plaatsvinden wanneer nieuwe browsertabbladen/vensters worden geopend, zoekopdrachten in de URL-balk worden getypt, enz. Illegitieme zoekmachines verzamelen doorgaans informatie over hun bezoekers. Aangezien deze websites zelden in staat zijn om zoekresultaten te genereren, leiden ze om naar legitieme websites (bijv. Google, Bing, Yahoo, etc.).
Adware is ontworpen om advertenties weer te geven op bezochte websites en/of andere interfaces; sommige types kunnen ook sites forceren te openen en privégegevens verzamelen. Van de geleverde advertenties is bekend dat ze bedrieglijke inhoud promoten, en sommige kunnen stiekem downloads/installaties uitvoeren (wanneer erop wordt geklikt).
Daarom kan de aanwezigheid van deze programma's op een apparaat leiden tot systeeminfecties, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Hoe heeft ChromeLoader malware mijn computer geïnfiltreerd?
ChromeLoader is actief verspreid via Twitter-posts waarin illegale programma's/media worden gepromoot via QR-codes waarmee gebruikers worden verleid tot het installeren van een kwaadaardig ISO-bestand. In het algemeen wordt malware voornamelijk verspreid via drive-by downloads, online oplichting, spam e-mails en berichten, onbetrouwbare downloadbronnen (bijv. onofficiële en freeware websites, Peer-to-Peer sharing netwerken, etc.), illegale programma activerings ('cracking') tools, nep updates, en kwaadaardige advertenties.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan bijna alle bekende malware-infecties detecteren en verwijderen. Het uitvoeren van een volledige systeemscan is echter essentieel - aangezien kwaadaardige programma's van hoge kwaliteit zich meestal diep in systemen verbergen.
Uitmuntend!
▼ Toon discussie