So entfernen Sie GhostSocks-Malware vom Betriebssystem
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist GhostSocks?
GhostSocks ist ein bösartiges Programm, das in der Programmiersprache Go geschrieben wurde. Es ist mit Windows- und Linux-Betriebssystemen kompatibel. Bei diesem Programm handelt es sich um eine SOCKS5 Backconnect Proxy Malware. Im Wesentlichen wird Software dieser Art von Angreifern verwendet, um die Internetverbindungen der Opfer für bösartige Zwecke zu nutzen.
GhostSocks tauchte erstmals im Herbst 2023 in russischen Hackerforen auf. Bei den meisten bekannten Angriffen mit dieser Malware wurde auch der LummaC2-Stealer eingesetzt. Es besteht eine Zusammenarbeit zwischen den Entwicklern von GhostSocks und LummaC2. Die Backconnect-Proxy-Malware wird als MaaS (Malware-as-a-Service) mit einem Rabatt für diesen Stealer angeboten.
GhostSocks Malware-Übersicht
GhostSocks verfügt über Anti-Analyse- und Anti-Erkennungsfunktionen. Er enthält stark verschleierten Code und kann bei der Ausführung in Sandbox-Umgebungen erkannt werden. GhostSocks arbeitet als SOCKS5 Backconnect Proxy Malware.
SOCKS5 ist ein Proxy-Protokoll, mit dem der Netzwerkverkehr über zwischengeschaltete Server geleitet werden kann. Beim Backconnect-Teil verbindet sich der Client (z. B. der Angreifer) nicht direkt mit dem Proxy-Server (z. B. dem Gerät des Opfers), sondern andersherum.
Im Falle von Backconnect-Malware wird die Infrastruktur der Cyberkriminellen über den infizierten Computer verbunden. Dies ist bei der Interaktion mit externen Diensten nützlich, da sich die Angreifer als ihre Opfer ausgeben können. GhostSocks funktioniert auf diese Weise, indem es einen SOCKS5-Proxy-Tunnel erstellt, um den Datenverkehr über das kompromittierte Gerät zu leiten.
Die praktische Anwendung des Verbergens des Ursprungs einer Verbindung ermöglicht es Cyberkriminellen, geolokalisierungsbasierte Beschränkungen, IP-basierte Integritätsprüfungen und bestimmte Betrugserkennungsmechanismen zu umgehen. Die Verwendung von GhostSocks in Kombination mit dem LummaC2-Stealer wirft ein besseres Licht auf das mögliche Ziel dieser Infektionen.
Diese datenklauende Malware zielt auf Anmeldeinformationen und 2FA/MFA-Codes (Two/Multi-Factor Authentication) ab, die von verschiedenen Diensten verwendet werden, sowie auf Informationen, die mit Kryptowährungs-Wallets verbunden sind, und andere sensible Informationen. Die von LummaC2 erlangten Daten können durch den Einsatz von GhostSocks noch erfolgreicher genutzt werden.
Viele hochsensible Dienste (z. B. solche, die mit Finanzen zu tun haben) verwenden verschiedene Mechanismen und Überprüfungsprozesse, um betrügerische/schädliche Aktivitäten zu verhindern - und GhostSocks kann verwendet werden, um sie zu umgehen.
GhostSocks verfügt über weitere Fähigkeiten: Es kann SOCKS5-Anmeldedaten ändern, Shell-Befehle ausführen und ausführbare Dateien herunterladen/ausführen. Letzteres bedeutet, dass dieses Programm zusätzliche bösartige Komponenten oder Malware in Systeme einschleusen kann.
Theoretisch kann diese Funktionalität genutzt werden, um jede Art von Infektion zu verursachen (z. B. Trojaner, Ransomware usw.). In der Praxis kann Software, die Ketteninfektionen verursachen kann, dies jedoch nur innerhalb bestimmter Grenzen oder Spezifikationen tun.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von GhostSocks auf Geräten zu mehrfachen Systeminfektionen, schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | GhostSocks virus |
| Bedrohung Typ | Trojaner, Backconnect-Proxy-Malware. |
| Namen der Erkennung | Avast (Win64:Evo-gen [Trj]), Combo Cleaner (Trojan.GenericKD.75595724), ESET-NOD32 (Eine Variante von Win64/GenKryptik.HFUJ), Kaspersky (Trojan.Win32.Injuke.osan), Microsoft (Trojan:Win32/Multiverze), Vollständige Liste der Erkennungen (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Diebstahl von Passwörtern und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Malware im Allgemeinen
Malware ist ein weit gefasster Begriff, der Programme mit unterschiedlichen Fähigkeiten umfasst. Bösartige Software kann für einen engen Zweck entwickelt werden oder unglaublich multifunktional sein. Sie ist auch nicht auf ihre Klassifizierung beschränkt (z. B. sind Fähigkeiten zum Datendiebstahl allgemein üblich), und Schadsoftware wird oft in Verbindung mit anderen bösartigen Programmen eingesetzt.
Zu den gängigen Funktionen gehören: Einschleusen von Schadsoftware (Backdoors/Loaders), Einfügen von Schadcode in Prozesse/Software (Injectors), Ermöglichen von Fernzugriff auf Rechner (RATs), Verschlüsseln von Daten oder Sperren von Bildschirmen zu Lösegeldzwecken (Ransomware), Exfiltrieren von Informationen aus Systemen/Anwendungen (Stealer), Stehlen/Ersetzen von Inhalten der Zwischenablage (Clipper), Aufzeichnen von Tastatureingaben (Keylogger), Aufzeichnen von Audio/Video über Mikrofone/Kameras (Spyware), Missbrauch von Systemressourcen zur Generierung von Kryptowährung (Kryptominers) usw.
Es muss betont werden, dass unabhängig von der Funktionsweise der Malware ihre Anwesenheit auf einem System die Integrität des Geräts und die Sicherheit des Benutzers gefährdet. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie hat GhostSocks meinen Computer infiltriert?
Da GhostSocks zum Verkauf angeboten wird, könnte es je nach den Cyber-Kriminellen, die diese Malware einsetzen, mit unterschiedlichen Methoden verbreitet werden. Bösartige Software wird in der Regel als reguläre Programme/Medien getarnt oder mit diesen gebündelt.
Infektiöse Dateien gibt es in verschiedenen Formaten, z. B. als ausführbare Dateien (.exe, .run usw.), Archive (RAR, ZIP usw.), Dokumente (Microsoft Office, Microsoft OneNote, PDF usw.), JavaScript usw. Das bloße Öffnen einer virulenten Datei kann ausreichen, um das Herunterladen/Installieren von Malware auszulösen.
Phishing und Social Engineering sind Standard bei der Verbreitung von Malware. Zu den weit verbreiteten Methoden gehören: Backdoor-/Loader-Trojaner, Drive-by-Downloads, Online-Betrug, bösartige Anhänge/Links in Spam-Mails (z. B. E-Mails, PMs/DMs usw.), Malvertising, dubiose Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, Peer-to-Peer-Sharing-Netzwerke usw.), illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Es ist wichtig, beim Surfen wachsam zu sein, da betrügerische und gefährliche Online-Inhalte meist legitim und harmlos erscheinen. Wir empfehlen, eingehende E-Mails und andere Nachrichten mit Vorsicht zu behandeln. Anhänge oder Links in verdächtigen/irrelevanten E-Mails dürfen nicht geöffnet werden, da sie bösartig sein können.
Eine weitere Empfehlung ist, nur von offiziellen und verifizierten Quellen herunterzuladen. Außerdem müssen alle Programme mit legitimen Funktionen/Werkzeugen aktiviert und aktualisiert werden, da die von Dritten bezogenen Programme Malware enthalten können.
Für die Sicherheit des Geräts/Benutzers ist es von größter Bedeutung, ein zuverlässiges Virenschutzprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitssoftware muss verwendet werden, um regelmäßige Systemüberprüfungen durchzuführen und erkannte Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist GhostSocks?
- SCHRITT 1. Manuelle Entfernung von GhostSocks Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit GhostSocks-Malware infiziert. Sollte ich mein Speichermedium formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten so drastische Maßnahmen.
Was sind die größten Probleme, die GhostSocks-Malware verursachen kann?
Die Gefahren, die von einer Infektion ausgehen, hängen von den Fähigkeiten des Programms und der Vorgehensweise der Cyberkriminellen ab. GhostSocks ist eine Backconnect-Proxy-Malware, die es Angreifern ermöglicht, den Datenverkehr über infizierte Systeme zu leiten. Sie wird häufig zusammen mit dem LummaC2-Stealer eingesetzt.
Daher können die vom Dieb erlangten Anmeldeinformationen erfolgreich mit GhostSocks verwendet werden, wobei die Aktivitäten als vom Opfer stammend getarnt werden (z. B. zur Erleichterung von Finanzgeschäften usw.). GhostSocks kann mehrere Systeminfektionen, ernsthafte Datenschutzprobleme, finanzielle Verluste und Identitätsdiebstahl verursachen.
Was ist der Zweck der GhostSocks Malware?
Profit ist das häufigste Motiv für Malware-Angriffe. Die Angreifer können Schadsoftware jedoch auch einsetzen, um sich selbst zu amüsieren, persönlichen Groll auszuleben, Prozesse zu stören (z. B. Websites, Dienste, Unternehmen usw.), Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.
Wie ist die GhostSocks-Malware in meinen Computer eingedrungen?
Malware wird hauptsächlich durch Trojaner, Drive-by-Downloads, verdächtige Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, P2P-Tauschbörsen usw.), Online-Betrug, Malvertising, Spam-E-Mails/Nachrichten, illegale Software-Aktivierungstools ("Cracking") und gefälschte Updates verbreitet. Außerdem können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Combo Cleaner wurde entwickelt, um Geräte zu scannen und alle Arten von Bedrohungen zu entfernen. Er ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu beseitigen. Beachten Sie, dass ein vollständiger System-Scan unerlässlich ist, da sich ausgeklügelte bösartige Programme oft tief im System verstecken.
Ausgezeichnet!
▼ Diskussion einblenden