Baldr Stealer
Geschreven door Tomas Meskauskas op (bijgewerkt)
Baldr virus verwijderingsgids
Wat is Baldr?
Baldr stealer (ook gekend als Trojan:MSIL/Darbl.A) is een kwaadaardig programma dat ontworpen werd om allerlei gegevens te stelen. Het is een tool die de cybercriminelen kunnen aankopen via hackforums om inkomsten te verkrijgen door de geregistreerde (gestolen) informatie te misbruiken. Meestal wordt dit programma gepresenteerd als een tool die voor verschillende doeleinden gebruikt kan worden. Ten tijde van het onderzoek werd het gepromoot door middel van CS: GO-cheatvideo's. Dit betekent dat het werd voorgesteld als een programma dat de gebruikers ervan toeliet om vals te spelen bij dit specifieke spel. Dat is één van de manieren waarop cybercriminelen mensen misleiden om het te downloaden en te installeren.
Baldr is een tool die door iedereen aangekocht kan worden voor 150 euro. Cybercriminelen verspreiden het met als doel om browsergegevens te stelen, zoals cookies, wachtwoorden, browsergeschiedenis, gegevens voor automatisch aanvullen van formulieren enzovoort. Bovendien is het in staat om wallet.dat-bestanden te stelen die gemaakt zijn door Bitcoin-clients. Deze bestanden worden gebruikt om persoonlijke sleutelinformatie op te slaan. Baldr registreert ook de gegevens van berichtenapps zoals Jabber, Psi +, Psi en Pidgin en het verzamelt de gegevens van VPN-clients zoals NordVPN en ProtoVPN en van Filezilla en Total Commander. Bovendien kan het gebruikt worden om bestanden te stelen die op het bureaublad staan of in de mappen Documenten en Downloads. Het kan ook gebruikt worden om schermafbeeldingen te maken. Bovendien verzamelt Baldr systeeminformatie zoals geolocaties, IP-adressen, de naam van de computer en de gebruikersnaam, systeemgegevens zoals MAC-adres, schermresolutie, taal van het besturingssysteem, hoeveelheid toegevoegde RAM, de lijst met de geïnstalleerde programma's en andere informatie. De meeste gestolen gegevens kunnen op de één of andere manier misbruikt worden om inkomsten te verkrijgen. Mensen die dit programma geïnstalleerd hebben, kunnen ernstige privacyschendingen verwachten of problemen ondervinden tijdens het surfen (financiële veriliezen en andere problemen zijn ook mogelijk). Als dit schadelijke programma geïnstalleerd is, dan moet het onmiddellijk verwijderd worden. Als Baldr geïnstalleerd is, dan kan dit geïdentificeerd worden als een onbekend proces dat uitgevoerd wordt in Taakbeheer. In ons voorbeeld hierboven is de procesnaam een reeks losgeldnummers en -letters ("211d67b463f54b3fa1c0a2ab253ec186.exe", de bestandsnaam is "Private_Cheat by pc_Ret v8.exe").
| Naam | Baldr malware |
| Bedreigingstype | Trojan, Paswoord-stelend virus, Bank malware, Spyware |
| Detectienaam (Private_Cheat by pc_Ret v8.exe) | Avast (Win32:TrojanX-gen [Trj]), BitDefender (AIT:Trojan.Nymeria.1583), ESET-NOD32 (een variant van Win32/Spy.Baldr.B), Kaspersky (HEUR:Trojan.Win32.Generic), Volledige Lijst (VirusTotal) |
| Schadelijke Procesnaam(en) | willekeurige reeks |
| Symptomen | Trojans zijn ontworpen om stiekem te infiltreren in de computer van het slachtoffer en zich stil te houden, dus er zijn geen specifieke symptomen duidelijk zichtbaar op een geïnfecteerde machine. |
| Verspreidingsmethoden | Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, softwarekraks, valse pc-spel cheats. |
| Schade | Gestolen bankgegevens, wachtwoorden, identiteitsdiefstal, de computer van het slachtoffer wordt toegevoegd aan een botnet. |
| Verwijdering | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Er zijn veel schadelijke programma's die cybercriminelen verspreiden met als doel om persoonlijke gegevens/details te stelen. Enkele voorbeelden van tools die op vergelijkbare wijze werken zijn Evital, CryptoStealer, IcedID en Ave Maria. Verschillende programma's werden ontworpen om allerlei gegevens te stelen, maar een computer die geïnfecteerd is met een kwaadaardig programma leidt levert meestal gelijkaardige problemen op (financieel verlies, privacyproblemen, enzovoort).
Hoe infiltreerde Baldr in mijn computer?
Zoals vermeld in onze inleiding, waren op het moment van het onderzoek enkele cybercriminelen Baldr aan het promoten via CS:GO cheat-video's. Dit betekent dat het vermomd was als een tool die zogezegd zijn gebruikers helpt om vals te spelen in deze game. Er zijn echter andere manieren om dergelijke computerinfecties te verspreiden. Heel vaak versturen cybercriminelen e-mails (spamcampagnes). Ze voegen schadelijke bestanden toe en hopen dat tenminste enkele van de ontvangers deze zullen openen. Meestal zijn deze bijlagen JavaScript-bestanden, Microsoft Office of PDF-documenten, archieven zoals ZIP, RAR, uitvoerbare bestanden (.exe), enzovoort. Eénmaal geopend, downloaden en installeren ze schadelijke programma's. Trojans zijn computerinfecties die ontworpen zijn om andere programma's te verspreiden (downloaden en installeren). Ze kunnen ook gebruikt worden om tools zoals Baldr te verspreiden. Software cracking tools veroorzaken, indien ze worden gebruikt, ook vaak computerbesmettingen (in plaats van dat ze software activeren). Een andere manier om schadelijke programma's te downloaden en te installeren is met behulp van onbetrouwbare bronnen voor softwaredownloads, zoals niet-officiële pagina's, externe downloaders, peer-to-peer-netwerken, enzovoort. Cybercriminelen gebruiken deze bronnen vaak als tools om hun kwaadaardige bestanden als legitiem voor te stellen. Met andere woorden, om zo mensen te misleiden zodat ze zelf malware downloaden en installeren.
Hoe de installatie van malware te vermijden?
Open geen bijlagen of weblinks van e-mails met verdachte of onbekende adressen. Deze e-mails worden meestal als officieel en belangrijk voorgesteld, maar meestal zijn ze irrelevant. Dergelijke e-mails mogen niet vertrouwd worden. Download software altijd via officiële websites en gebruik directe links. Update de geïnstalleerde software met behulp van de geïmplementeerde functies of tools die alleen door de officiële softwareontwikkelaars geleverd worden. Activeer geen software met tools die verondersteld worden om de betaalde activeringen te omzeilen. Deze tools veroorzaken niet alleen computerinfecties, maar ze zijn ook illegaal. Zorg dat u een betrouwbare antivirus- of antispywaresoftware geïnstalleerd hebt en houd deze altijd ingeschakeld. Deze tools zijn meestal goed in het detecteren en verwijderen van bedreigingen voordat ze enige schade aan het besturingssysteem kunnen aanbrengen. Als u denkt dat uw computer al geïnfecteerd is, dan raden we u aan een scan uit te voeren met Combo Cleaner om de geïnfiltreerde malware automatisch te verwijderen.
Screenshot van de ontwikkelaar die Baldr verkoopt op een hacking-forum:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is Baldr?
- STAP 1. Handmatige verwijdering van de Baldr malware.
- STAP 2. Controleren of uw computer virusvrij is.
Hoe malware handmatig te verwijderen?
Handmatig verwijderen van malware is een gecompliceerde taak, meestal is het beter om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, moet u eerst de naam kennen van de malware die u probeert te verwijderen. Hier een voorbeeld van een verdacht programma dat op de computer van de gebruiker wordt uitgevoerd:
Als u de lijst met programma's op uw computer hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer en een programma hebt geïdentificeerd dat er verdacht uitziet, gaat u verder met de volgende stappen:
Download het programma Autoruns. Dit programma toont toepassingen die automatisch starten, register- en bestandssysteemlocaties:
Herstart uw computer in Veilige Modus:
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk F5 om in Veilige Modus met netwerk te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.
Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":
Pak het archiefbestand uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-applicatie bovenaan op "Opties" en verwijder de vinkjes bij "Hide Empty Locations" en "Hide Windows Entries". Na deze procedure klikt u op het pictogram "Refresh".
Controleer de lijst van de Autoruns-applicatie en zoek het malwarebestand uit dat u wilt verwijderen.
Schrijf het volledige pad en de naam op. Merk op dat sommige malware de procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u 'Delete'.
Nadat u de malware hebt verwijderd via de Autoruns-applicatie (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende opstart van het systeem), moet u de malwarenaam op uw computer zoeken. Zorg dat u verborgen mappen en bestanden inschakelt voordat u doorgaat. Als u het bestand van de malware vindt, verwijder het dan.
Start uw computer opnieuw op in normale modus. Door deze stappen te volgen, kunt u eventuele malware van uw computer verwijderen. Merk op dat voor het handmatig verwijderen van malware een grondige computerkennis noodzakelijk is. Het wordt daarom aanbevolen om de verwijdering van malware over te laten aan antivirus- en antimalwareprogramma's. Deze stappen werken mogelijk niet met geavanceerde malware-infecties. Zoals altijd is het beter om besmettingen te voorkomen dan achteraf malware te moeten verwijderen. Om ervoor te zorgen dat uw computer veilig blijft, moet u steeds de meest recente updates van het besturingssysteem installeren en antivirussoftware gebruiken.
Om zeker te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner.
Uitmuntend!
▼ Toon discussie