Entfernungshinweise für die Backdoor-Malware Warmcookie
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Warmcookie?
Warmcookie ist der Name einer Malware vom Typ Backdoor. Schadprogramme dieser Klassifizierung sind so konzipiert, dass sie eine "Hintertür" zu kompromittierten Systemen öffnen; das Ziel ist eine weitere Infektion (d. h. das Herunterladen/Installieren zusätzlicher Malware).
Warmcookie ist mindestens seit dem Frühjahr 2024 auf dem Markt, wobei vermutet wird, dass ältere Versionen sogar noch früher veröffentlicht wurden. Zum Zeitpunkt der Erstellung dieses Berichts wird diese Backdoor aktiv über gezielte E-Mail-Spam-Kampagnen verbreitet.
Überblick über die Malware Warmcookie
Die Fähigkeiten von Warmcookie sind nicht sehr umfangreich, was für Backdoors nicht ungewöhnlich ist, da ihr Zweck darin besteht, als erster Einstiegspunkt in ein Zielnetzwerk zu dienen. Warmcookie verfügt über Anti-Analyse-Funktionen, einschließlich Anti-Debugging und Erkennung beim Start in Sandbox-Umgebungen. Die Backdoor kann ihre Privilegien ausweiten und die Persistenz sicherstellen, indem sie die Ausführung alle zehn Minuten plant.
Nach erfolgreicher Infiltration sammelt Warmcookie in der ersten Phase Informationen zur Identifizierung des infizierten Computers - Seriennummer des Datenträgers, DNS-Domäne, Gerätename und Benutzername. Die gesammelten Daten werden dann an den C&C-Server (Command and Control) der Angreifer gesendet, der in der Malware fest einkodiert ist.
In der zweiten Phase zielt Warmcookie darauf ab, zusätzliche Informationen zu extrahieren und beginnt, die ihm zur Verfügung stehenden Funktionen zu nutzen. Das Programm sucht nach CPU-Details, der IP-Adresse des Opfers und einer Liste der installierten Software (einschließlich Name, Version und Installationsdatum).
Warmcookie kann Befehle auf infizierten Systemen ausführen. Er kann Dateien lesen, Screenshots erstellen und Dateien auf kompromittierte Geräte herunterladen. Letzteres ist der Hauptzweck von Warmcookie, da es auf diese Weise weitere Infektionen verursacht.
Theoretisch können Backdoors so gut wie jede Art von Malware in Systeme einschleusen; in der Praxis sind diesen Programmen jedoch gewisse Grenzen gesetzt. Um auf die Malware einzugehen, die im weiteren Verlauf installiert werden könnte - die Infektion könnte in einer Form von Trojaner-Virus gipfeln.
"Trojaner" ist ein Oberbegriff, der eine Vielzahl von Schadprogrammen umfasst, darunter (aber nicht nur): Loader/Downloader, die zusätzliche Malware installieren, Injektoren, die bösartigen Code in Prozesse/Programme einschleusen, Stealer, die Daten aus Systemen und Anwendungen extrahieren, Spyware, die Daten aufzeichnet (z. B., Screenshots anfertigt, Desktops streamt, Audio/Video über Mikrofone/Kameras aufzeichnet usw.), Grabber, die Dateien von Geräten herunterladen, Keylogger, die Tastatureingaben aufzeichnen, Clipper, die Inhalte der Zwischenablage ersetzen, und so weiter.
Ransomware ist eine weitere weit verbreitete Malware. Diese Schadsoftware verschlüsselt Dateien und/oder sperrt Gerätebildschirme, um Lösegeld für die Entschlüsselung bzw. Wiederherstellung des Zugriffs zu fordern. Es ist wichtig zu erwähnen, dass Ransomware, die gegen Unternehmen eingesetzt wird, oft eine doppelte Erpressungstaktik anwendet, bei der sensible Informationen von den Geräten gestohlen werden und die Opfer gezwungen werden, den Lösegeldforderungen unter Androhung von Datenverlusten nachzukommen.
Es ist ebenfalls bemerkenswert, dass die Entwickler von Malware ihre Software und Methoden häufig verbessern. Potenzielle künftige Varianten könnten daher schlanker sein oder über zusätzliche/andere Funktionen verfügen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie Warmcookie auf Geräten zu mehreren Systeminfektionen, Datenverlusten, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Warmcookie virus |
| Bedrohung Typ | Trojaner, Backdoor |
| Erkennungs-Namen | Avast (Win64:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Midie.147193), ESET-NOD32 (Win64/Agent.DTJ), Kaspersky (HEUR:Trojan.Win64.Agent.gen), Microsoft (Trojan:Win64/Midie.GXZ!MTB), Vollständige Liste der Erkennungen (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Diebstahl von Passwörtern und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Malware vom Typ Backdoor
Wir haben über Tausende von bösartigen Programmen geschrieben; NICECURL, TAMECAT, MadMxShell, XRed, GoBear und SPICA sind nur einige unserer Artikel über Backdoors.
Malware kann sehr vielseitig sein oder einen unglaublich engen Zweck verfolgen. Doch unabhängig davon, wie ein bösartiges Programm arbeitet - sein Vorhandensein auf einem Gerät bedroht die System- und Benutzersicherheit. Daher ist es von größter Wichtigkeit, alle Bedrohungen sofort nach ihrer Entdeckung zu beseitigen.
Wie hat Warmcookie meinen Computer infiltriert?
Zum Zeitpunkt der Untersuchung wurde Warmcookie über gezielte Spam-E-Mails verbreitet. In den Briefen wurde mit Arbeits- und Stellenangeboten gelockt. Sie gaben sich als Nachrichten von bestehenden Personalvermittlungsfirmen aus und sprachen die Opfer mit ihren tatsächlichen Namen an und gaben ihren derzeitigen Arbeitsplatz, ihre Position und ähnliche Informationen an.
Die Empfänger wurden geködert, auf einen Link in der E-Mail zu klicken, der angeblich zu einem internen System führte, in dem sie das Stellenangebot überprüfen konnten. Dies führte zu einer Umleitungskette, die über eine kompromittierte Website (die in der Regel auf seriösen Domänen gehostet wird) zu einer bösartigen Website führte.
Die Zielseite wurde als Fortsetzung des ursprünglichen Anwerbungsversuchs präsentiert und enthielt teilweise Informationen, die mit dem Opfer in Verbindung standen und für dieses relevant waren. Diese Seite forderte den Besucher auf, das Dokument (mit den Einzelheiten der vorgeschlagenen Stelle) herunterzuladen, und dazu wurde er aufgefordert, einen CAPTCHA-Test auszufüllen.
Nachdem dieser abgeschlossen war, lud das Opfer eine verschleierte JavaScript-Datei herunter. Diese Datei führte ein PowerShell-Skript aus, das Systeme mit Warmcookie infizieren sollte.
Derzeit sind diese Kampagnen aktiv und werden intensiv gepflegt. Die Spam-Mails werden täglich bis wöchentlich zugestellt; ebenso werden die Websites in der Umleitungskette und die Zielseiten fast wöchentlich aktualisiert, was die Chancen auf eine Entdeckung verringert, wenn der Ruf einer Seite an Bekanntheit gewinnt.
Es muss erwähnt werden, dass Warmcookie durch verschiedene Köder, Verbreitungstechniken und Infektionsketten verbreitet werden kann.
Phishing und Social Engineering sind bei der Verbreitung von Malware von entscheidender Bedeutung. Schadprogramme sind in der Regel als normale Software-/Mediendateien getarnt oder mit ihnen gebündelt. Neben JavaScript können infektiöse Dateien auch als Archive (ZIP, RAR usw.), ausführbare Dateien (.exe, .run usw.), Dokumente (Microsoft Office, Microsoft OneNote, PDF usw.) und andere Formate auftreten.
Zu den am häufigsten verwendeten Methoden zur Verbreitung von Malware gehören: bösartige Anhänge/Links in Spam (z. B. E-Mails, DMs/PMs, SMS, Beiträge in sozialen Medien/Foren usw.), Drive-by-Downloads (heimliche/trügerische Downloads), dubiose Download-Quellen (z. B., Freeware und kostenlose Filehosting-Websites, P2P-Sharing-Netzwerke usw.), Online-Betrug, Malvertising, raubkopierte Programme/Medien, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, bei eingehenden E-Mails, DMs/PMs, SMS und anderen Nachrichten Vorsicht walten zu lassen. Anhänge oder Links in dubiosen/irrelevanten E-Mails dürfen nicht geöffnet werden, da sie bösartig sein können. Eine weitere Empfehlung lautet, beim Surfen vorsichtig zu sein, da gefälschte und gefährliche Online-Inhalte meist echt und harmlos erscheinen.
Außerdem müssen alle Downloads von offiziellen und verifizierten Kanälen erfolgen. Wir raten, Programme mit legitimen Funktionen/Tools zu aktivieren und zu aktualisieren, da die von Dritten erworbenen Programme Malware enthalten können.
Für die Sicherheit des Geräts/Benutzers ist es unerlässlich, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitssoftware muss verwendet werden, um regelmäßige Systemüberprüfungen durchzuführen und erkannte Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Spam-E-Mail, die die Warmcookie-Malware verbreitet (Bildquelle - Elastic):
Text in dieser E-Mail:
We're Interested
Your Next Step: A Potential Position
Hello,
We have an exciting opportunity to share with you - a new position available with one of our esteemed clients. Given your outstanding professional background, work experience at SPIRIANT and skills, we believe you could be an ideal fit for this role.
Please access our internal system via the link below to review the detailed job description and associated responsibilities thoroughly.
If the role aligns with your career objecties, we would be thrilled to set up a conversation at your earliest convenience to explore further.
View Position Details
Bösartige Website (beworben über Spam-E-Mails), die Warmcookie verbreitet (Bildquelle - Elastic):
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist Warmcookie?
- SCHRITT 1. Manuelle Entfernung von Warmcookie Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit der Malware Warmcookie infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die die Warmcookie-Malware verursachen kann?
Die Gefahren, die von einer Infektion ausgehen, hängen von den Fähigkeiten der Malware und den Zielen der Cyber-Kriminellen ab. Die mit Warmcookie verbundenen Bedrohungen sind variabel, da es sich bei diesem Programm um eine Backdoor handelt - eine Malware, die darauf ausgelegt ist, Ketteninfektionen zu verursachen (d. h. zusätzliche Schadsoftware einzuschleusen). Im Allgemeinen sind Infektionen mit hohem Risiko mit Datenverlust, schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl verbunden.
Was ist der Zweck der Warmcookie-Malware?
Malware wird in erster Linie zu Gewinnzwecken eingesetzt. Cyber-Kriminelle können diese Software jedoch auch einsetzen, um sich zu amüsieren, persönlichen Groll auszuleben, Prozesse zu stören (z. B. Websites, Dienste, Unternehmen usw.), Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.
Wie ist die Warmcookie-Malware in meinen Computer eingedrungen?
Es wurde beobachtet, dass Warmcookie aktiv über gezielte E-Mail-Spam-Kampagnen verbreitet wird. Neben Spam gibt es weitere weit verbreitete Methoden zur Verbreitung von Malware: Drive-by-Downloads, Online-Betrug, Malvertising, verdächtige Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Sharing-Netzwerke usw.), raubkopierte Inhalte, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates. Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Ja, Combo Cleaner wurde entwickelt, um Computer zu scannen und alle Arten von Bedrohungen zu beseitigen. Es kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Es muss betont werden, dass die Durchführung eines vollständigen Systemscans von entscheidender Bedeutung ist, da hochentwickelte bösartige Software dazu neigt, sich tief im System zu verstecken.
Ausgezeichnet!
▼ Diskussion einblenden