FacebookTwitterLinkedIn

Hoe LOBSHOT malware van uw computer verwijderen

Ook bekend als: LOBSHOT virus
Type: Trojan
Schadeniveau: Ernstig

Wat is LOBSHOT?

LOBSHOT is een soort malware met een functie genaamd hVNC (Hidden Virtual Network Computing) waarmee aanvallers ongemerkt toegang kunnen krijgen tot de computer van een slachtoffer. De hVNC-component is effectief in het omzeilen van fraudedetectiesystemen. LOBSHOT wordt ook gebruikt om financiële misdrijven uit te voeren door het gebruik van banktrojanen en functies voor het stelen van informatie.

LOBSHOT malware

Meer over LOBSHOT

In eerste instantie creëert LOBSHOT een gepersonaliseerd kader dat een catalogus met informatie bevat, zoals de GUID van de machine, Windows-editie, computernaam en gebruikersnaam, details van het Windows bureaubladobject, het aantal lopende processen, de ID van het malware-proces en het bovenliggende proces, schermresolutie, informatie over het weergaveapparaat, DPI voor het beeldscherm (de beeldschermen), evenals de handgrepen van de bureaubladobjecten en -vensters.

Na uitvoering creëert LOBSHOT een duplicaat van zichzelf in de map "C:\ProgramData", start een nieuw proces met behulp van explorer.exe, beëindigt het oorspronkelijke proces en verwijdert vervolgens het oorspronkelijke bestand. Deze aanpak wordt gebruikt om de stamboom van het proces te verbergen en detectie door analisten te bemoeilijken.

LOBSHOT gebruikt de methode voor het vasthouden van de registersleutel om zijn persistentie te handhaven. Zodra LOBSHOT zijn persistentiemechanisme heeft ingesteld, start het een nieuwe thread om zijn stealerfunctie te activeren. Dit proces begint door zich te richten op cryptogerelateerde browserextensies (waaronder talrijke Chrome, Edge en Firefox wallet-extensies).

LOBSHOT's hVNC-module is een andere belangrijke eigenschap van de malware. Op dit punt begint de aangetaste machine screenshots van het verborgen bureaublad te versturen naar een luisterende client onder controle van de aanvaller. De aanvaller heeft volledige controle op afstand over het apparaat door de client te gebruiken om het toetsenbord te manipuleren, op knoppen te klikken en de muis te bewegen.

Met de hVNC-module van LOBSHOT kan de aanvaller verschillende commando's uitvoeren. Deze commando's omvatten het starten van een nieuw explorer.exe proces, het starten van het Windows Run commando, het starten van een nieuw Windows proces met een verstrekt commando, het starten van internetbrowsers zoals Internet Explorer, Edge en Firefox, het beëindigen van bestaande explorer.exe processen, het knoeien met Windows geluidsinstellingen, het instellen of ophalen van Klembordtekst en het activeren van het Startmenu.

Overzicht bedreiging:
Naam LOBSHOT virus
Type bedreiging Information stealer, remote access Trojan
Detectienamen (LOBSHOT) Avast (Win32:BackdoorX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.271868), ESET-NOD32 (een variant van Win32/Agent.AEYE), Kaspersky (Backdoor.Win32.DarkVNC.rr), Microsoft (Trojan:Win32/Sdaloog.C), volledige lijst (VirusTotal)
Gerelateerd Domein anydeskcloud[.]tech
Detectienamen (anydeskcloud[.]tech) AlphaSOC (Malware), Combo Cleaner (Malware), ESET (Malware), Forcepoint ThreatSeeker (Malicious), G-Data (Malware), volledige lijst van detecties (VirusTotal)
Symptomen LOBSHOT is ontworpen om stiekem te infiltreren in de computer van het slachtoffer en stil te blijven, en dus zijn er geen bijzondere symptomen duidelijk zichtbaar op een geïnfecteerde machine.
Verspreidingsmethodes Kwaadaardige online advertenties, valse websites, kwaadaardige installers
Schade Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, bijkomende infecties, financieel verlies en meer.
Malware verwijderen (Windows)

Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken.
▼ Combo Cleaner voor Windows Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.

Mogelijke schade

Cybercriminelen kunnen LOBSHOT gebruiken voor verschillende kwaadaardige activiteiten. LOBSHOT maakt gebruik van een banktrojan en kan informatie stelen, wat betekent dat het gevoelige gegevens van de computer van het slachtoffer kan stelen, waaronder financiële informatie.

Met zijn hVNC-module kunnen de aanvallers volledige controle op afstand krijgen over het geïnfecteerde apparaat, waardoor ze een breed scala aan kwaadaardige activiteiten kunnen uitvoeren. Bovendien kan LOBSHOT nieuwe processen starten en de geluidsinstellingen van Windows wijzigen. In het algemeen kan LOBSHOT aanzienlijke schade toebrengen aan de computer van een slachtoffer en hun gevoelige informatie in gevaar brengen.

Hoe is LOBSHOT in mijn computer geïnfiltreerd?

Deze infectieketen begint met een gebruiker die op het internet zoekt naar legitieme software (bv. AnyDesk). Een van de zoekresultaten waarop de gebruiker klikt is echter een Google-advertentie, die de gebruiker naar een gemaskeerde landingspagina voor het downloaden van de software leidt. De gebruiker downloadt en voert een MS-installatieprogramma uit vanaf deze pagina, waardoor PowerShell wordt gestart.

Vervolgens downloadt PowerShell de LOBSHOT-malware en voert deze uit via rundll32. Zodra LOBSHOT is uitgevoerd, begint het met zijn schadelijke activiteiten, waaronder het stelen van gevoelige informatie en het verlenen van toegang op afstand aan de aanvaller via de hVNC-module.

Hoe vermijdt u de installatie van malware?

Wees voorzichtig met het downloaden en installeren van software van onbekende bronnen, vooral als het een gekraakte of gepirateerde versie is. Houd uw besturingssysteem en alle software up-to-date met de laatste beveiligingspatches en updates. Gebruik een goede antivirus of beveiligingssoftware en houd deze up-to-date.

Wees op uw hoede voor verdachte e-mailbijlagen, links of pop-ups, en klik er niet op. Download alleen software en bestanden van betrouwbare bronnen (officiële pagina's en winkels). Als u denkt dat uw computer al geïnfecteerd is, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.

Valse AnyDesk website die LOBSHOT verspreidt:

LOBSHOT malware valse AnyDesk-website

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Hoe verwijdert u malware handmatig?

Het handmatig verwijderen van malware is een ingewikkelde taak - meestal is het het beste om antivirus- of anti-malwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen adviseren wij het gebruik van Combo Cleaner.

Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat draait op de computer van een gebruiker:

Malware proces dat wordt uitgevoerd in Taakbeheer

Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:

handmatige stap voor het verwijderen van malware 1Download een programma genaamd Autoruns. Dit programma toont auto-start toepassingen, register en bestandssysteem locaties:

Autoruns applicatie-uiterlijk

handmatige stap voor het verwijderen van malware 2Herstart uw computer in de veilige modus:

Windows XP en Windows 7 gebruikers: Start uw computer op in veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van de computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Voer Windows 7 of Windows XP uit in Veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 7 opstart in "Veilige modus met netwerkmogelijkheden":

Windows 8 gebruikers: Start Windows 8 is veilige modus met netwerkmogelijkheden- Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.

Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".

Klik op de knop "Opnieuw opstarten". Uw PC zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in veilige modus met netwerkmogelijkheden.

Voer Windows 8 uit in Veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 8 opstart in "Veilige modus met netwerkmogelijkheden":

Windows 10 gebruikers: Klik op het Windows logo en selecteer het Power icoon. In het geopende menu klikt u op "Herstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. In het venster "een optie kiezen" klikt u op "Problemen oplossen", vervolgens selecteert u "Geavanceerde opties".

Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de toets "F5" op uw toetsenbord klikken. Dit zal uw besturingssysteem opnieuw opstarten in de veilige modus met netwerkmogelijkheden.

Voer Windows 10 uit in Veilige modus met netwerkmogelijkheden

Video die laat zien hoe u Windows 10 opstart in "Veilige modus met netwerkmogelijkheden":

handmatige stap voor het verwijderen van malware 3Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.

Pak het Autoruns.zip-archief uit en voer de toepassing Autoruns.exe uit

handmatige stap voor het verwijderen van malware 4In de Autoruns toepassing, klik op "Opties" aan de bovenkant en schakel de opties "Lege locaties verbergen" en "Windows Entries verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".

Vernieuw de resultaten van de Autoruns-toepassing

handmatige stap voor het verwijderen van malware 5Bekijk de lijst die door de Autoruns toepassing en zoek het malware bestand dat u wilt verwijderen.

U moet het volledige pad en de naam ervan opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het heel belangrijk om te vermijden dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".Verwijder malware in Autoruns

Nadat u de malware hebt verwijderd via de Autoruns-toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij het volgende opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.Zoek naar malware en verwijder deze

Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Merk op dat handmatige bedreiging verwijdering vereist geavanceerde computer vaardigheden. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om besmetting te voorkomen dan te proberen malware later te verwijderen. Om uw computer veilig te houden, installeert u de laatste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij u aan uw computer te scannen met Combo Cleaner.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met LOBSHOT malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?

Het formatteren van uw opslagapparaat kan LOBSHOT malware verwijderen, maar het is een drastische stap die zal resulteren in het verlies van alle gegevens op het getroffen apparaat. Voordat u deze stap neemt, is het aanbevolen om te proberen de malware te verwijderen met behulp van betrouwbare anti-malware software.

Wat zijn de grootste problemen die malware kan veroorzaken?

De gevolgen van een malware-infectie kunnen variëren en kunnen bestaan uit identiteitsdiefstal, financiële schade, verminderde computerprestaties, extra infecties en andere schade.

Wat is het doel van LOBSHOT-malware?

Het doel van LOBSHOT-malware is het stelen van gevoelige informatie, zoals wachtwoorden en referenties van cryptocurrency-wallets, van geïnfecteerde systemen. Het heeft ook mogelijkheden voor volledige controle op afstand van het geïnfecteerde apparaat, waardoor de aanvaller commando's kan uitvoeren en met het systeem kan communiceren via een verborgen virtuele netwerkcomputermodule.

Hoe is LOBSHOT-malware in mijn computer geïnfiltreerd?

LOBSHOT-malware infiltreerde uw computer nadat u op een Google-advertentie had geklikt, die leidde naar een valse website die zich voordeed als een legitieme softwaredownload. U hebt vervolgens een MS-installatieprogramma van deze pagina gedownload en uitgevoerd, waardoor PowerShell werd gestart. Via PowerShell werd LOBSHOT gedownload en uitgevoerd via rundll32, waardoor het zijn kwaadaardige activiteiten kon uitvoeren.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan de meeste typen bekende malware-infecties detecteren en verwijderen. Het is echter belangrijk op te merken dat geavanceerde malware zich vaak diep in het systeem verbergt. Daarom wordt het uitvoeren van een volledige systeemscan om een volledige verwijdering te garanderen sterk aanbevolen.

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

Verwijderingsinstructies in andere talen
QR Code
LOBSHOT virus QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van LOBSHOT virus op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.