So entfernen Sie Phemedrone-Malware von Ihrem Computer
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Phemedrone?
Phemedrone ist ein Informationsdiebstahlprogramm, das in der Programmiersprache C# codiert ist. Diese bösartige Software ist darauf ausgelegt, Systeminformationen zu sammeln, Dateien zu erfassen und Daten aus Webbrowsern und Anwendungen zu stehlen. Benutzer, die vermuten, dass ihr Computer mit Phemedrone infiziert ist, sollten die Malware sofort entfernen.
Mehr über Phemedrone
Der Phemedrone Stealer ist sowohl für x32- als auch für x64-Systeme konzipiert. Der Stealer nutzt einen HTTP-Host, um alle Protokolle zu senden, so dass der Angreifer die gestohlenen Informationen aus der Ferne sammeln kann. Die Malware ist mit konfigurierbaren Anti-Analyse-, Anti-Virtual-Machine-, Anti-Debugger- und Mutex-Funktionen ausgestattet, um die Erkennung zu umgehen.
Sie ist in der Lage, verschiedene sensible Daten abzugreifen, darunter Cookies, Passwörter, Autofill-Daten und Kreditkartendetails von Chromium- und Gecko-basierten Browsern. Außerdem kann er Sitzungen von beliebten Plattformen wie Telegram, Steam und Discord abgreifen. Außerdem kann er Dateien von infizierten Systemen stehlen.
Darüber hinaus kann Phemedrone sensible Informationen aus Krypto-Wallets sammeln und detaillierte Systeminformationen bereitstellen, einschließlich Hardware, Geolocation und Betriebssysteminformationen, und sogar Screenshots erfassen. Der Schädling sammelt alle Daten direkt im Speicher, ohne auf externe Bibliotheken zurückzugreifen.
Opfer von Phemedrone können aufgrund der Aktivitäten dieses Informationsdiebs mit verschiedenen Problemen konfrontiert werden. Dazu gehört der unbefugte Zugriff auf sensible Daten wie Passwörter, Kreditkarteninformationen und Kryptowährungs-Wallets, was zu Identitätsdiebstahl, finanziellen Verlusten und potenziellem Missbrauch von persönlichen Konten führen kann.
Die Fähigkeit der Malware, Systeminformationen zu sammeln und Screenshots zu erstellen, kann die Privatsphäre gefährden und sensible Daten für Unbefugte zugänglich machen. Darüber hinaus erschweren die Anti-Erkennungsfunktionen von Phemedrone seine Erkennung und Entfernung, was die potenziellen Auswirkungen auf das System des Opfers verlängert und das Risiko eines weiteren Datendiebstahls erhöht.
| Name | Phemedrone Informationsdieb |
| Bedrohung Typ | Informationsdiebstahl |
| Namen der Erkennung | Avast (Win32:SpywareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.358520), ESET-NOD32 (Eine Variante von MSIL/Spy.Agent.ENP), Kaspersky (HEUR:Trojan-PSW.MSIL.Stealer.gen), Microsoft (Trojan:MSIL/FormBook.CD!MTB), vollständige Liste (VirusTotal) |
| Symptome | In der Regel sind Datendiebe so konzipiert, dass sie sich unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Computer keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, Verlust des Zugriffs auf Online-Konten, finanzielle Verluste und andere Probleme. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Informationsdiebe im Allgemeinen
Informationsdiebe, zu denen auch Phemedrone und ähnliche Malware gehören, haben mehrere gemeinsame Merkmale. Sie sind darauf ausgelegt, sensible Informationen von kompromittierten Systemen zu sammeln, z. B. Kennwörter, Finanzdaten und persönliche Angaben. Sie verwenden oft Techniken, um die Erkennung zu umgehen, wie z. B. Anti-Viren- oder Anti-Virtual-Machine-Funktionen.
Die Informationsdiebe sind in der Regel in der Lage, die gestohlenen Daten auf entfernte, von den Bedrohungsakteuren kontrollierte Server zu exfiltrieren. Außerdem zielen sie oft auf beliebte Anwendungen und Browser ab, um die Chancen zu erhöhen, wertvolle Informationen von den Opfern zu erbeuten. Beispiele für verschiedene Stealer sind Meduza Stealer, ThirdEye Stealer, und RedEnergy Stealer.
Wie hat Phemedrone meinen Computer infiltriert?
Benutzer können ihre Computer auf verschiedene Weise infizieren. Eine gängige Methode ist das Herunterladen und Ausführen bösartiger Dateien oder Anhänge, z. B. infizierte E-Mail-Anhänge oder Dateien, die von nicht vertrauenswürdigen Quellen heruntergeladen wurden. Der Besuch kompromittierter oder bösartiger Websites und das Anklicken irreführender Links oder Anzeigen kann ebenfalls zu Malware-Infektionen führen.
Außerdem können veraltete Software oder Betriebssysteme mit ungepatchten Sicherheitslücken von Angreifern ausgenutzt werden, um sich unbefugt Zugang zu verschaffen und das System zu infizieren.
Wie lässt sich die Installation von Malware vermeiden?
Halten Sie Ihr Betriebssystem und Ihre Programme mit den neuesten Sicherheits-Patches auf dem neuesten Stand, da Malware Sicherheitslücken ausnutzen kann. Seien Sie vorsichtig, wenn Sie E-Mail-Anhänge öffnen oder auf Links klicken, insbesondere bei unbekannten oder verdächtigen Quellen. Verwenden Sie seriöse Antiviren-Software und halten Sie sie auf dem neuesten Stand, um nach Malware zu suchen und diese zu entfernen.
Achten Sie außerdem auf die Seiten, die Sie besuchen, und laden Sie Software nur von offiziellen und vertrauenswürdigen Quellen herunter (z. B. von offiziellen Websites und verifizierten Shops). Vertrauen Sie nicht auf Werbung, die auf verdächtigen Websites erscheint. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Bild zur Werbung für Phemedrone verwendet:
Update 16. Januar 2024 - Es wurde eine neue Technik zur Verbreitung des Phemedrone-Stehlers beobachtet. Dabei wird eine Sicherheitslücke (CVE-2023-36025) ausgenutzt, die den Microsoft SmartScreen betrifft. Die Schwachstelle ermöglicht es speziell erstellten Internet-Verknüpfungsdateien (.URL), Malware einzuschleusen und dabei die Erkennung durch SmartScreen zu umgehen. Es wurden zwar Patches veröffentlicht, um dieses Problem zu beheben, aber viele Rechner sind weiterhin anfällig.
Zu einer der bekannten Infektionsketten von Phemedrone, die CVE-2023-36025 ausnutzen, ist zu sagen, dass die bösartigen .URL-Dateien auf Discord, FileTransfer.io und anderen Diensten gehostet wurden. Es ist wahrscheinlich, dass URL-Verkürzungen verwendet werden.
Nach dem Öffnen wird eine Verbindung zum Server der Cyber-Kriminellen hergestellt, von dem ein Windows Control Panel Item (.CPL) heruntergeladen und ausgeführt wird. Dies sollte eigentlich durch Microsoft SmartScreen verhindert werden, aber der Prozess wird absichtlich so gestaltet, dass er die Erkennung umgeht.
Zusätzlich werden .DLL-Dateien heruntergeladen und ausgeführt; sie nutzen PowerShell, um (von GitHub) die nächste Stufe des Angriffs zu erhalten und zu starten. Er enthält einen gut verschleierten PowerShell-Loader, der ein ZIP-Archiv von GitHub herunterlädt.
Es enthält WerFaultSecure.exe - eine legitime Windows-Binärdatei - und zwei bösartige Dateien. Die eine wird für die DLL-Side-Loading-Technik verwendet, während die andere ein Loader für eine andere Stufe ist. Die Infektion gipfelt in der Infiltration von Phemedrone in das System.
Screenshot einer Verknüpfungsdatei, die Phemedrone über den zuvor beschriebenen Exploit verbreitet:
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist Phemedrone?
- SCHRITT 1. Manuelle Entfernung von Phemedrone Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit Phemedrone-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Formatierung sollte nur als letzter Ausweg in Betracht gezogen werden, wenn andere Methoden, wie die Verwendung von Antiviren-Software wie Combo Cleaner, die Malware nicht erfolgreich entfernt haben.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann zu Datenschutzverletzungen führen und sensible und persönliche Informationen wie Finanzdaten, Passwörter usw. gefährden. Außerdem kann Malware die Systemfunktionalität stören und zu Systemabstürzen, langsamer Leistung und Datenverlust führen. Darüber hinaus kann sie unbefugten Zugriff auf das infizierte System ermöglichen, so dass Cyberkriminelle die Kontrolle über das kompromittierte Gerät erlangen und möglicherweise weitere Angriffe starten können.
Was ist der Zweck von Phemedrone?
Phemedrone, eine Malware, die Informationen stiehlt, zielt darauf ab, sensible Daten von infizierten Systemen zu sammeln. Sie zielt darauf ab, verschiedene Arten von Informationen zu sammeln, z. B. Systemdetails, Dateien, Daten aus Webbrowsern und Anwendungen, Cookies, Kennwörter, Autofill-Daten, Kreditkartendaten und sogar Sitzungsinformationen von bestimmten Plattformen wie Telegram, Steam und Discord.
Wie ist eine Malware in meinen Computer eingedrungen?
Zu den üblichen Methoden gehören das Klicken auf bösartige Links oder das Herunterladen infizierter Dateien von nicht vertrauenswürdigen Quellen, das Öffnen von E-Mail-Anhängen von unbekannten oder verdächtigen Absendern, der Besuch kompromittierter oder bösartiger Websites oder das Ausnutzen von Schwachstellen in veralteter Software oder Betriebssystemen. Außerdem kann Malware über infizierte externe Geräte wie USB-Laufwerke oder durch netzwerkbasierte Angriffe auf ungeschützte oder schlecht gesicherte Systeme verbreitet werden.
Wird mich Combo Cleaner vor Malware schützen?
Combo Cleaner erkennt und entfernt effektiv fast alle bekannten Malware-Infektionen. Hochentwickelte Malware versteckt sich oft tief im System. Daher ist die Durchführung eines umfassenden Systemscans unerlässlich, um die gründliche Erkennung und Beseitigung solcher High-End-Malware sicherzustellen.
Ausgezeichnet!
▼ Diskussion einblenden