Verwijderinstructies voor de ZenRAT-malware
Geschreven door Tomas Meskauskas op (bijgewerkt)
Wat voor soort malware is ZenRAT?
ZenRAT is de naam van een Remote Access Trojan (RAT) die al minstens sinds de zomer van 2023 bestaat. Deze malware heeft mogelijkheden om gegevens te stelen en kan modules voor extra functionaliteit implementeren. Dit laatste betekent dat deze trojan kan worden omgevormd tot een zeer veelzijdig stuk kwaadaardige software.
ZenRAT wordt gedistribueerd via een valse Bitwarden-website. Benadrukt moet worden dat noch de site noch de RAT op enige wijze verbonden is met de Bitwarden service.
ZenRAT malware overzicht
De bekende varianten van ZenRAT komen op machines terecht onder het mom van of gebundeld met legitieme software. Dit programma is een RAT - een type malware dat externe toegang tot en controle over geïnfecteerde apparaten mogelijk maakt.
ZenRAT start zijn activiteiten door apparaatgegevens te verzamelen, zoals de naam van het apparaat, GPU, RAM, OS-versie (besturingssysteem), IP-adres (geolocatie), geïnstalleerde apps en antivirustools, enz.
De trojan beschikt ook over bepaalde anti-analysefuncties. Het controleert details om te ontdekken of het wordt uitgevoerd op een VM (Virtual Machine). Door te controleren of de systeemschijf minder dan 95 GB is, probeert ZenRAT mogelijk te verifiëren of het is gestart in een sandbox-omgeving.
Zoals vermeld in de inleiding, kan ZenRAT extra mogelijkheden krijgen door verschillende modules te downloaden/installeren. Op het moment van onderzoek is waargenomen dat het een module implementeert voor het stelen van referenties en andere gegevens van browsers. Dit soort stalkers richten zich meestal op de geschiedenis van browsers en zoekmachines, internetcookies, inloggegevens (gebruikersnamen/wachtwoorden), persoonlijk identificeerbare gegevens, creditcardnummers, enzovoort.
Het is niet onwaarschijnlijk dat ZenRAT andere modules gebruikt voor extra functionaliteit. Theoretisch kan modulaire malware componenten downloaden/installeren voor vrijwel elk type functionaliteit; deze programma's werken echter meestal binnen bepaalde specificaties/beperkingen.
Het is relevant om te vermelden dat malwareontwikkelaars hun creaties en methoden vaak verbeteren - daarom kunnen mogelijke toekomstige varianten van ZenRAT andere mogelijkheden of functies hebben.
Samengevat kan de aanwezigheid van kwaadaardige software zoals ZenRAT op apparaten leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Naam | ZenRAT remote access trojan |
Type bedreiging | Trojan, RAT, Remote Access Trojan, Remote Administration Trojan, password-stealing virus, banking malware, spyware. |
Detectienamen | Avast (Win32:TrojanX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.68617330), Fortinet (PossibleThreat.PALLAS.H), Kaspersky (UDS:Trojan.Win32.GenericML.xnet), Microsoft (Trojan:Win32/Casdet!rfn), volledige lijst van detecties (VirusTotal) |
Symptomen | Trojans zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarekrakers. |
Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Remote access trojan voorbeelden
We hebben talrijke malware onderzocht; ValleyRAT, Aphrobyte Plus, PySilon, Loda en SuperBear zijn slechts enkele van onze laatste artikelen over RATs. Deze trojans zijn vaak ongelooflijk veelzijdig, maar dit kan ook gelden voor andere soorten malware.
Kwaadaardige software kan worden ontworpen met een specifiek en smal doel voor ogen of een hele reeks schadelijke mogelijkheden hebben. Maar hoe malware ook werkt - de aanwezigheid ervan op een systeem bedreigt de integriteit van het apparaat en de veiligheid van de gebruiker. Daarom moeten alle bedreigingen onmiddellijk worden verwijderd zodra ze worden ontdekt.
Hoe is ZenRAT in mijn computer geïnfiltreerd?
ZenRAT wordt verspreid via een kwaadaardige website die de officiële site van de Bitwarden wachtwoordmanager imiteert. De valse webpagina vervalst ook de URL van Bitwarden (typosquatting), waarbij het domein wordt nagebootst op een enkele verdwaalde "i"-letter na.
Als een bezoeker die Windows gebruikt deze pagina opent en de downloadoptie voor zijn besturingssysteem kiest, krijgt hij een installatieprogramma voor Bitwarden dat is gebundeld met ZenRAT. Als een Windows-gebruiker echter een downloadoptie kiest voor een ander besturingssysteem, zoals MacOS of Linux, wordt hij doorgestuurd naar de legitieme Bitwarden-website. En in het geval dat een bezoeker geen Windows gebruikt, is de weergegeven pagina iets heel anders.
De schadelijke installatieset die van de valse Bitwarden-website wordt verkregen, is getiteld "Bitwarden-Installer-version-2023-7-1.exe" (bestandsnaam kan variëren).
Het is momenteel onbekend hoe de nepwebsite wordt gepromoot. Over het algemeen openen bezoekers van kwaadaardige webpagina's deze voornamelijk door zoekmachinevergiftigingstechnieken toe te passen of via omleidingen die worden gegenereerd door verkeerd getypte URL's, sites die gebruikmaken van malafide advertentienetwerken, opdringerige advertenties, spam-browsermeldingen of geïnstalleerde adware.
Er is een andere installatievariant van ZenRAT ingediend bij het VirusTotal-platform voorafgaand aan de ontdekking van het eerder gedetailleerde installatieprogramma. Deze setup heeft de naam "CertificateUpdate-version1-102-90" en doet zich voor als Speccy - een freeware hulpprogramma voor het bekijken van gegevens met betrekking tot hardware en software op uw computer.
Sommige ZenRAT-bevattende setups beweren te zijn ondertekend door Tim Kosse - een ontwikkelaar die bekend staat om onder andere het FileZilla FTP-programma. De eigenlijke uitvoerbare bestanden van ZenRAT kunnen echter verschillende vermeende details van de ontwikkelaar bevatten.
Het is opmerkelijk dat ZenRAT kan worden verspreid met behulp van andere technieken of vermommingen. Schadelijke bestanden zijn er in verschillende formaten, zoals archieven (RAR, ZIP, enz.), uitvoerbare bestanden (.exe, .run, enz.), documenten (Microsoft Office, Microsoft OneNote, PDF, enz.), JavaScript, enzovoort. Phishing en social engineering komen ongelooflijk vaak voor bij de verspreiding van malware.
De meest gebruikte verspreidingsmethoden zijn: online oplichting, schadelijke bijlagen of koppelingen in spam e-mails/berichten, drive-by (sluipende/bedrieglijke) downloads, dubieuze downloadkanalen (bijv. freeware en gratis bestandshostingsites, Peer-to-Peer netwerken voor het delen van bestanden, enz.
Bovendien kunnen sommige kwaadaardige programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. USB-sticks, externe harde schijven, enz.).
Hoe vermijdt u de installatie van malware?
We raden sterk aan om software te onderzoeken en alleen te downloaden van officiële/geverifieerde bronnen. Bovendien moeten alle programma's worden geactiveerd en bijgewerkt met behulp van legitieme functies/tools, omdat programma's van derden malware kunnen bevatten.
Een andere aanbeveling is om voorzichtig te zijn met inkomende e-mails, DM's/PM's, sms'jes en andere berichten. De bijlagen of links in dubieuze/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn. We raden ook aan om voorzichtig te zijn tijdens het browsen, omdat frauduleuze en schadelijke online inhoud meestal echt en onschuldig lijkt.
We benadrukken het belang van het installeren en up-to-date houden van een betrouwbare antivirus. Met beveiligingssoftware moeten regelmatig systeemscans worden uitgevoerd en bedreigingen en problemen worden verwijderd. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Screenshot van de valse Bitwarden-website die wordt gebruikt om ZenRAT-malware te verspreiden:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is ZenRAT?
- STAP 1. Handmatig verwijderen van ZenRAT malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat wordt uitgevoerd op de computer van een gebruiker:
Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma vindt automatisch gestarte toepassingen, register- en bestandssysteemlocaties:
Herstart uw computer in de veilige modus:
Windows XP en Windows 7 gebruikers: Start uw computer op in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het starten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 start in "Veilige modus met netwerkmogelijkheden":
Windows 8 gebruikers: Start Windows 8 in Veilige modus met netwerkmogelijkheden - Ga naar het Startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer start nu opnieuw op in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Je PC zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 start in "Veilige modus met netwerkmogelijkheden":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl je de toets "Shift" op je toetsenbord ingedrukt houdt. Klik in het venster "Een optie kiezen" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet je op de toets "F5" op je toetsenbord klikken. Hierdoor wordt je besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 start in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.
Klik in de Autoruns-toepassing op "Opties" bovenaan en schakel de opties "Lege locaties verbergen" en "Windows-items verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".
Bekijk de lijst die wordt geleverd door de Autoruns-toepassing en vind het malwarebestand dat u wilt verwijderen.
U moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de Autoruns-toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.
Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, wordt alle malware van uw computer verwijderd. Houd er rekening mee dat voor het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist zijn. Als je deze vaardigheden niet hebt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om een infectie te voorkomen dan om te proberen malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we aan deze te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met ZenRAT malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
De meeste schadelijke programma's kunnen worden verwijderd zonder te formatteren.
Wat zijn de grootste problemen die ZenRAT malware kan veroorzaken?
De bedreigingen zijn afhankelijk van de functionaliteiten van de malware en de modus operandi van de cybercriminelen. ZenRAT is een RAT - een programma dat externe toegang tot/controle over apparaten mogelijk maakt en het heeft functies voor het stelen van gegevens. Over het algemeen kunnen dit soort infecties leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Wat is het doel van ZenRAT-malware?
Malware wordt meestal gebruikt om inkomsten te genereren. Cybercriminelen kunnen deze software echter ook gebruiken om zichzelf te amuseren, persoonlijke wraak te realiseren, processen te verstoren (bijv. sites, diensten, bedrijven, enz.) en zelfs politiek/geopolitiek gemotiveerde aanvallen te lanceren.
Hoe is ZenRAT-malware mijn computer binnengedrongen?
ZenRAT werd verspreid via een valse Bitwarden-website. Andere distributietechnieken zijn echter niet onwaarschijnlijk.
Malware wordt voornamelijk verspreid via drive-by downloads, spammail, online scams, malvertising, onbetrouwbare downloadbronnen (bijv. freeware en websites van derden, P2P-sharingnetwerken, enz.), illegale softwareactiveringsprogramma's ("cracking") en valse updates. Sommige schadelijke programma's kunnen zichzelf zelfs verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan bijna alle bekende malware-infecties detecteren en verwijderen. Het moet worden vermeld dat, aangezien geavanceerde kwaadaardige programma's zich meestal diep in systemen verbergen, het uitvoeren van een volledige systeemscan essentieel is.
▼ Toon discussie