Hoe te voorkomen dat een computer wordt geïnfecteerd via een zelfuitpakkend archiefbestand
Geschreven door Tomas Meskauskas op
Wat is een kwaadaardig self-extracting archive (SFX) bestand?
Zelfuitpakkende (SFX) archiefbestanden worden traditioneel gebruikt om gecomprimeerde gegevens te delen met personen die niet over de software beschikken om de inhoud van een standaard archiefbestand uit te pakken en te bekijken. Deze bestanden kunnen echter verborgen kwaadaardige functies bevatten die voor de gebruikers niet direct zichtbaar zijn en die door technologische beveiligingsmaatregelen kunnen worden omzeild.
Meer over kwaadaardige self-extracting archives
Uitvoerbare SFX-archieven werken door de voor archivering bedoelde inhoud toe te voegen aan een decompressorstub, die wordt uitgevoerd wanneer het bestand wordt uitgevoerd. Deze stub pakt vlot uit en toont de inhoud van het bestand, zodat de gebruiker niet over gespecialiseerde software hoeft te beschikken.
Hoewel SFX-archieven door software-installers kunnen worden gebruikt om de installatie te vergemakkelijken, gebruiken kwaadwillenden deze archieven steeds vaker om veiligheidsmaatregelen te omzeilen en kwaadaardige code uit te voeren.
Er worden momenteel verschillende soorten SFX-decompressorstubs gebruikt, afhankelijk van het product dat wordt gebruikt om een SFX-archief te genereren, en niet alle producten bieden dezelfde functionaliteit. Veel van deze producten zijn breed toegankelijk en gebruiksvriendelijk.
Zo zijn 7-Zip en WinRAR twee programma's waarmee een SFX-archief kan worden gemaakt, elk met hun eigen unieke versie van een decompressorstub en functies die kunnen worden gebruikt of uitgebuit.
Met een wachtwoord beveiligde SFX-archieven komen meestal voor in commerciële omgevingen waar een product wordt gebruikt om een bestand te versleutelen en een wachtwoord nodig heeft om toegang te krijgen. Het resulterende bestand is vaak een SFX-archief met een uitvoerbare extensie dat alleen toegankelijk is met het juiste wachtwoord.
Deze zelfde techniek om bestanden te beveiligen is ook misbruikt om ongeoorloofde toegang mogelijk te maken.
Een campagne met het Emotet-botnet illustreert hoe SFX-archieven zijn misbruikt. In dit geval verspreidde het botnet een SFX-archief dat, wanneer het door een gebruiker werd geopend, automatisch een tweede SFX-archief zou uitpakken, dat met een wachtwoord was beveiligd.
Het archief voerde vervolgens het wachtwoord in, haalde de inhoud eruit en voerde deze uit zonder verdere invoer van de gebruiker. Bovendien werd een lokbestand weergegeven om geen argwaan te wekken.
Andere gevallen van beruchte malware die bedreigers verspreiden via SFX-archieven zijn CoinMiner en Quasar RAT.
| Naam | Kwaadaardig self-extracting (SFX) archive |
| Type bedreiging | Trojan, wachtwoord stelende virus, bank malware, spyware, of andere malware. |
| Detectienamen (yrqs.sfx.exe bestand gebruikt om malware te leveren) | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.49033489), Emsisoft (Trojan.GenericKD.49033489 (B)), Kaspersky (Trojan-Dropper.Win32.Agent.teviwl), Microsoft (Trojan:Win32/Casdet!rfn), volledige lijst (VirusTotal) |
| Symptomen | De symptomen van een kwaadaardig SFX-bestand kunnen variëren, afhankelijk van het specifieke type malware dat het bestand bevat. |
| Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, gecompromitteerde of onbetrouwbare pagina's, enz. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet, en meer. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Conclusie
Gedurende een aanzienlijke periode heeft het zelfuitpakkende archief de distributie van bestanden naar eindgebruikers vergemakkelijkt. Niettemin vormt het een beveiligingskwetsbaarheid omdat de inhoud van bestanden niet moeiteloos kan worden geverifieerd en er stiekem opdrachten en uitvoerbare bestanden kunnen worden uitgevoerd.
Onze geschetste aanvalsmethode vereist slechts één klik en geen invoer van een wachtwoord om een doelwit te compromitteren, waardoor cybercriminelen verschillende aanvallen kunnen uitvoeren, waaronder cryptokaping, gegevensdiefstal en ransomware.
Hoe is self-Extracting archive (SFX) malware in mijn computer geïnfiltreerd?
Bedreigers verspreiden schadelijke SFX-archieven door malware in een SFX-archief te verpakken en slachtoffers te verleiden het te downloaden en te openen. Zij kunnen verschillende technieken gebruiken, zoals het vermommen van het archief als een legitiem bestand of het verbergen ervan in een phishing-e-mail of een valse software-update.
In sommige gevallen kunnen ze ook met een wachtwoord beveiligde SFX-archieven gebruiken die automatisch hun schadelijke payload uitpakken en uitvoeren zonder dat de gebruiker iets hoeft in te voeren. Met deze technieken kunnen bedreigers malware verspreiden via SFX-archieven en de systemen van hun slachtoffers compromitteren.
Hoe vermijdt u de installatie van malware?
Zorg ervoor dat uw besturingssysteem, toepassingen en antivirussoftware up-to-date zijn. Wees voorzichtig met e-mailbijlagen (en koppelingen in e-mails). Open geen e-mailbijlagen van onbekende adressen of e-mails die verdacht lijken. Malware kan verborgen zitten in bijlagen zoals Word-documenten, PDF's of ZIP-bestanden.
Klik niet op links van onbekende bronnen of links die verdacht lijken. Download alleen software van betrouwbare bronnen en controleer of de website legitiem is voordat u iets downloadt. Installeer gereputeerde antivirussoftware en houd deze up-to-date om malware te detecteren en van uw apparaat te verwijderen.
Als u denkt dat uw computer al geïnfecteerd is, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Met wachtwoord beveiligde SFX gegenereerd met WinRAR:
Wachtwoord-beveiligde SFX gegenereerd met 7zip:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is Self-Extracting archive (SFX) malware?
- STAP 1. Handmatige verwijdering van self-Extracting archive (SFX) malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus of anti-malware programma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat draait op de computer van een gebruiker:
Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont auto-start toepassingen, register en bestandssysteem locaties:
Herstart uw computer in de veilige modus:
Windows XP en Windows 7 gebruikers: Start uw computer op in veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van de computer meerdere keren op de F8-toets op uw toetsenbord tot u het menu Geavanceerde opties van Windows ziet, en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 8 gebruikers: Start Windows 8 in veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw PC zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 10 gebruikers: Klik op het Windows logo en selecteer het Power icoon. In het geopende menu klikt u op "Herstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. In het venster "een optie kiezen" klikt u op "Problemen oplossen", vervolgens selecteert u "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de toets "F5" op uw toetsenbord klikken. Dit zal uw besturingssysteem opnieuw opstarten in de veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 opstart in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.
In de Autoruns toepassing, klik op "Opties" aan de bovenkant en schakel de opties "Lege locaties verbergen" en "Windows Entries verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".
Bekijk de lijst die door de Autoruns toepassing wordt weergegeven en zoek het malware bestand dat u wilt verwijderen.
U moet het volledige pad en de naam ervan opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het heel belangrijk om te vermijden dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de Autoruns-toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij het volgende opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.
Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Merk op dat handmatige bedreiging verwijdering vereist geavanceerde computer vaardigheden. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om besmetting te voorkomen dan te proberen malware later te verwijderen. Om uw computer veilig te houden, installeert u de laatste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij u aan uw computer te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Hoewel het formatteren van uw opslagapparaat malware effectief kan verwijderen, kunt u dit het beste als laatste optie gebruiken. Voordat u uw toevlucht neemt tot deze drastische maatregel, is het raadzaam om te proberen de malware te verwijderen met behulp van betrouwbare antivirussoftware.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan veel problemen veroorzaken, waaronder het stelen of beschadigen van gevoelige informatie. Ook kan het systemen vertragen of laten crashen, waardoor de dagelijkse werkzaamheden en productiviteit aanzienlijk worden verstoord. Malware kan worden gebruikt om ransomware af te leveren, botnets te creëren die op afstand kunnen worden bestuurd en gebruikt om grootschalige cyberaanvallen uit te voeren, en meer.
Wat is het doel van malware?
Malware kan worden gebruikt om gevoelige informatie zoals persoonsgegevens en financiële informatie te stelen, bestanden te beschadigen of te vernietigen, de normale werking van het systeem te verstoren en de controle over geïnfecteerde apparaten over te nemen. Malware kan ook worden gebruikt voor frauduleuze activiteiten zoals phishing-aanvallen of om spam e-mails te verspreiden. De motieven voor het creëren en verspreiden van malware kunnen variëren.
Hoe is malware in mijn computer geïnfiltreerd?
Malware kan een computer op verschillende manieren infiltreren, zoals via phishing-e-mails, schadelijke downloads en geïnfecteerde websites. Daarnaast kan malware worden verspreid via verwisselbare media zoals USB-stations of cd's en via zwakke plekken in het netwerk.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner kan bijna alle bekende soorten malware identificeren en verwijderen, maar geavanceerde malware kan zich vaak diep in een systeem verstoppen. Daarom is een grondige (volledige) systeemscan vereist om effectieve detectie en verwijdering te garanderen.
Uitmuntend!
▼ Toon discussie