Hoe verwijdert u malware verspreid door schadelijke Microsoft OneNote-bestanden
Geschreven door Tomas Meskauskas op (bijgewerkt)
Wat is Microsoft OneNote malware?
Microsoft OneNote-malware - verwijst naar kwaadaardige software die wordt verspreid met behulp van Trojan OneNote (.one)-bestanden. De documenten in legitiem formaat worden gewijzigd met het oog op de verspreiding van malware door er virusinhoud in op te nemen, die bij interactie het download-/installatieproces van de malware in gang zet.
De opkomst van besmettelijke OneNote-bestanden valt samen met het besluit van Microsoft om macro's van het internet automatisch te blokkeren in MS Office-documenten. Jarenlang hadden cybercriminelen vertrouwd op kwaadaardige macrocommando's om malware te verspreiden; deze nieuwe ontwikkelingen hadden deze weg echter afgesloten en hebben waarschijnlijk geleid tot het gebruik van OneNote-bestanden.
Microsoft OneNote malware overzicht
In de meeste gevallen worden schadelijke OneNote-bestanden gepromoot via spam-campagnes. Deze bestanden worden verspreid als bijlagen of via downloadlinks.
Op het moment van schrijven zijn twee schadelijke programma's waargenomen die op deze manier werden verspreid - de Qakbot banking trojan die zich richt op financiële informatie en in staat is keteninfecties te veroorzaken (d.w.z. het installeren van bijkomende trojans, ransomware, cryptominers, enz.), en de RedLine Stealer die is ontworpen om een verscheidenheid aan gevoelige gegevens van geïnfecteerde apparaten te halen.
De onderzochte campagnes met Qakbot richtten zich willekeurig op slachtoffers of gebruikten gestolen e-mailaccounts en beantwoordden alle deelnemers aan een bestaande e-mail thread. De spammails zelf waren meestal onpersoonlijk, met als enige persoonlijke detail de achternaam van de ontvanger in de onderwerpregel van sommige e-mails.
De geïnspecteerde virus OneNote-bestanden hadden een HTML-toepassing (HTA-bestand) ingesloten, die (nadat erop was geklikt) een legitieme toepassing gebruikte om de malware te downloaden/installeren (in dit geval Qakbot). Bijna elk type bestand kan echter in OneNote worden ingesloten.
Documentformaten vereisen vaak extra gebruikersinteractie om infectieketens op gang te brengen (d.w.z. het downloaden/installeren van malware begint niet bij het openen), en dit geldt voor kwaadaardige OneNote-bestanden.
Infectieuze Microsoft Office-documenten vereisen dat gebruikers hun macroopdrachten toestaan (d.w.z. bewerken/inhoud inschakelen), terwijl OneNote-bestanden vereisen dat gebruikers op de ingesloten inhoud klikken. Om dit te bereiken nemen cybercriminelen gewoonlijk hun toevlucht tot social engineering. De geanalyseerde OneNote-bestanden bevatten bijvoorbeeld valse knoppen zoals "Openen" waarmee het bestand zogenaamd uit de cloudopslag wordt gedownload, of "Dubbelklikken om bestand te bekijken" - wat toegang impliceert tot welke niet-bestaande inhoud dan ook.
In theorie kunnen virus OneNote-bestanden worden gebruikt om alle soorten malware te verspreiden. De bedreigingen van een infectie hangen af van de mogelijkheden van het programma en de doelstellingen van de cybercriminelen.
Over het algemeen kunnen malware-infecties leiden tot verminderde systeemprestaties of uitval, gegevensverlies, hardwareschade, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Als u denkt dat uw apparaat al geïnfecteerd is - raden wij u ten zeerste aan een antivirusprogramma te gebruiken om een volledige systeemscan uit te voeren en gedetecteerde bedreigingen onmiddellijk te verwijderen.
| Naam | Microsoft OneNote virus |
| Type bedreiging | Trojan, password-stealing virus, banking malware, spyware. |
| Detectienamen (verspreiden Qakbot) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.GenericKD.65264047), ESET-NOD32 (Multiple Detections), Kaspersky (Trojan.Script.Agent.jr), Microsoft (TrojanDownloader:O97M/Qakbot.SS!MTB), Volledige lijst van detecties (VirusTotal) |
| Detectienamen (verspreiden RedLine) | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Trojan.Generic.33194109), ESET-NOD32 (BAT/Agent.PLI), Kaspersky (Trojan.Script.Agent.jq), Microsoft (Trojan:Win32/Leonem), Volledige lijst van detecties (VirusTotal) |
| Payload | Qakbot, RedLine |
| Symptomen | Trojans zijn ontworpen om stiekem te infiltreren in de computer van het slachtoffer en stil te blijven, zodat er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Verspreidingsmethodes | Geïnfecteerde e-mail bijlagen, kwaadaardige online advertenties, social engineering. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Malware in het algemeen
Trojan OneNote-bestanden kunnen worden gebruikt om zowat alle malware te verspreiden. Kwaadaardige software kan een breed scala aan functies en toepassingen hebben.
Populaire types zijn: backdoors/loaders (veroorzaken kettinginfecties), stealers (stelen gegevens/inhoud), spyware (maken screenshots, nemen toetsaanslagen, audio/video, enz. op), clippers (vervangen klembordgegevens), ransomware (versleutelen gegevens/vergrendelen scherm van apparaat voor losgelddoeleinden), cryptominers (misbruiken systeembronnen om cryptocurrency te minen), enz.
Hoe malware ook werkt - de aanwezigheid ervan op een systeem brengt de veiligheid van apparaten en gebruikers in gevaar. Daarom is het van het grootste belang alle bedreigingen onmiddellijk na ontdekking te verwijderen.
Hoe is Microsoft OneNote malware in mijn computer geïnfiltreerd?
Schadelijke OneNote-bestanden worden meestal verspreid via e-mailspamcampagnes, als bijlagen of via downloadlinks. Deze e-mails kunnen op verschillende manieren worden vermomd, vaak als berichten van legitieme bedrijven, dienstverleners, instellingen, autoriteiten en andere entiteiten.
Het infectieproces wordt in gang gezet wanneer op de inhoud van het OneNote-bestand wordt geklikt. Social engineering kan worden gebruikt om gebruikers daartoe te misleiden (bv. verzoeken om op een knop te klikken om een bestand te downloaden/openen, enz.)
Het is echter mogelijk dat besmettelijke OneNote-bestanden via andere methoden worden verspreid. Gebruikers kunnen ertoe worden gebracht een dergelijk bestand te downloaden via zoekmachinevergiftiging of malvertisingtechnieken, waarbij het schadelijke bestand wordt voorgesteld als gewone inhoud. Verschillende online scams kunnen ook worden gebruikt om virus OneNote-bestanden te verspreiden.
Hoe vermijdt u de installatie van malware?
Wij raden aan voorzichtig te zijn met inkomende e-mails, PM's/DM's, SMS'jes en andere berichten. De bijlagen of links in verdachte/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn.
Dezelfde waakzaamheid is geboden bij het browsen, aangezien frauduleuze en schadelijke online-inhoud meestal legitiem en ongevaarlijk lijkt.
Wij adviseren alleen te downloaden van officiële en geverifieerde kanalen. Bovendien moeten alle programma's worden geactiveerd en bijgewerkt met functies/tools van echte ontwikkelaars, aangezien illegale activeringstools ("cracks") en updates van derden malware kunnen bevatten.
Het is van het grootste belang om een betrouwbare antivirus te installeren en up-to-date te houden. Met beveiligingssoftware moeten regelmatig systeemscans worden uitgevoerd en gedetecteerde bedreigingen en problemen worden verwijderd. Als u denkt dat uw computer al geïnfecteerd is, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Screenshot van een kwaadaardig OneNote bestand dat de RedLine Stealer verspreidt:
Screenshot van een spam e-mail waarin een kwaadaardig OneNote bestand wordt verspreid:
Tekst in deze e-mail:
Subject: DOC Lester
Hello,
A llist of the required documents for a contract in one doc:-
Screenshot van weer een spam e-mail met een kwaadaardig OneNote bestand:
Tekst in deze e-mail:
Subject: Automatic reply
Good morning,
Please look into this as a matter of urgency
My thanks and appreciation
Good day,
I will be out of the office for today.
Please contact - for assistance.
Have a great day
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is Microsoft OneNote malware?
- STAP 1. Handmatige verwijdering van Microsoft OneNote malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus of anti-malware programma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat draait op de computer van een gebruiker:
Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont auto-start toepassingen, register en bestandssysteem locaties:
Herstart uw computer in de veilige modus:
Windows XP en Windows 7 gebruikers: Start uw computer op in veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van de computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet, en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 8 gebruikers: Start Windows 8 is veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw PC zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 10 gebruikers: Klik op het Windows logo en selecteer het Power icoon. In het geopende menu klikt u op "Herstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. In het venster "een optie kiezen" klikt u op "Problemen oplossen", vervolgens selecteert u "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de toets "F5" op uw toetsenbord klikken. Dit zal uw besturingssysteem opnieuw opstarten in de veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 opstart in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.
In de Autoruns toepassing, klik op "Opties" aan de bovenkant en schakel de opties "Lege locaties verbergen" en "Windows Entries verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".
Bekijk de lijst die door de Autoruns toepassing en zoek het malware bestand dat u wilt verwijderen.
U moet het volledige pad en de naam ervan opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het heel belangrijk om te vermijden dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de Autoruns-toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij het volgende opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.
Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Merk op dat handmatige bedreiging verwijdering vereist geavanceerde computer vaardigheden. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om besmetting te voorkomen dan te proberen malware later te verwijderen. Om uw computer veilig te houden, installeert u de laatste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij u aan uw computer te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Wat is het doel van kwaadaardige OneNote-bestanden?
Het legitieme OneNote-bestandsformaat kan door cybercriminelen worden getrojaniseerd om de apparaten van slachtoffers te infecteren met malware. Deze besmettelijke bestanden kunnen worden gebruikt om zowat elk soort kwaadaardig programma te verspreiden. De download/installatie van malware wordt geactiveerd wanneer het slachtoffer interageert met inhoud die is ingesloten in het OneNote-bestand.
Wat zijn de grootste problemen die OneNote-malware kan veroorzaken?
De bedreigingen van een infectie hangen af van de mogelijkheden van de malware en de modus operandi van de cybercriminelen. Zoals vermeld in het vorige antwoord, kunnen virus OneNote-bestanden worden gebruikt om verschillende soorten malware te verspreiden, bv. trojans, ransomware, cryptominers, enz. Over het algemeen kunnen risicovolle infecties leiden tot verminderde systeemprestaties of uitval, ernstige privacyproblemen, gegevensverlies, hardwareschade, financiële verliezen en identiteitsdiefstal.
Hoe is OneNote malware in mijn computer geïnfiltreerd?
Schadelijke OneNote-bestanden worden voornamelijk verspreid als bijlagen of via downloadlinks in spam e-mails. Deze bestanden kunnen echter ook worden verspreid via zoekmachinevergiftiging, malvertising, online zwendel en andere.
Ik heb een spam e-mail gelezen maar het OneNote bestand niet geopend, is mijn computer geïnfecteerd?
Nee, alleen het lezen van een e-mail start geen download-/installatieprocessen van malware. Apparaten worden geïnfecteerd wanneer schadelijke bijlagen of links in spammail worden geopend/geklikt, en dit geldt ook voor schadelijke OneNote-bestanden.
Ik heb het OneNote-bestand gedownload en geopend dat door een spammail werd gepromoot, is mijn computer geïnfecteerd?
Kwaadaardige OneNote-bestanden beginnen met het downloaden/installeren van malware wanneer de inhoud die erin is opgenomen (bijv. bestanden zoals HTA, LNK, VBS, enz.) wordt aangeklikt. Houd er rekening mee dat deze bestanden vaak misleidende instructies bevatten om gebruikers te verleiden tot interactie met de inhoud.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan systemen scannen en vrijwel alle bekende malware-infecties detecteren en verwijderen. Het moet worden benadrukt dat het uitvoeren van een volledige systeemscan van het grootste belang is omdat geavanceerde kwaadaardige programma's zich meestal diep in systemen verbergen.
Uitmuntend!
▼ Toon discussie