So entfernen Sie Squidoor Backdoor Malware
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Squidoor?
Squidoor ist eine Backdoor Malware, die auf Windows- und Linux-Betriebssysteme (OS) abzielt. Programme dieser Klassifizierung öffnen "Hintertüren" in den Zielcomputern, um sie für eine weitere Infektion vorzubereiten, und einige können sogar Payload-Malware herunterladen und installieren.
Squidoor gibt es mindestens seit dem Frühjahr 2023. Dieses Schadprogramm wurde in Cyberspionagekampagnen eingesetzt, die auf Einrichtungen in den Bereichen Regierung, Verteidigung, Bildung, Telekommunikation und anderen hochsensiblen Bereichen in Südostasien und Südamerika abzielten. Es gibt einige Hinweise darauf, dass diese Aktivitäten mit einem in China ansässigen Bedrohungsakteur in Verbindung gebracht werden.
Überblick über die Squidoor-Malware
Squidoor ist eine High-End-Backdoor, bei deren Entwicklung besonderer Wert auf Heimlichkeit gelegt wurde. Diese Malware wurde beobachtet, wie sie Geräte infiltriert, indem sie Schwachstellen in IIS-Servern (Internet Information Services) ausnutzt.
Nach der ersten Infiltration setzt Squidoor mehrere Web-Shells ein, die als dauerhafte Hintertüren dienen und Angreifern den Zugriff und die Kontrolle ermöglichen. Die erfolgreiche Selbstverbreitung dieses Programms auf verschiedenen Servern hängt ebenfalls von den Web-Shells ab.
Squidoor verfügt über Anti-Erkennungs- und Anti-Analyse-Fähigkeiten, wie z. B. die Erkennung bei der Ausführung auf einem virtuellen Rechner oder in Sandbox-Umgebungen. Es nutzt Mechanismen zur Sicherung der Persistenz, indem es sich beispielsweise als geplante Aufgabe einrichtet.
Interessanterweise verwendet dieses bösartige Programm viele Methoden, um sich mit seinem C&C-Server (Command and Control) zu verbinden - zehn für Windows und neun für Linux-Betriebssysteme. Tunneling über DNS (Domain Name System) oder ICMP (Internet Control Message Protocol) und Microsoft Outlook - sind nur einige der Taktiken für die C&C-Verbindung unter Windows.
Squidoor ist eine modulare Malware, die sich seitlich durch Netzwerke bewegen, beliebige Befehle ausführen, Gerätedaten sammeln, Verzeichnisse und Dateien durchsuchen, Dateien exfiltrieren (stehlen), laufende Prozesse auflisten, als Injektor-Trojaner arbeiten (d. h. bösartigen Code in Prozesse/Software injizieren) und zusätzliche Malware und bösartige Inhalte herunterladen/installieren kann.
Zu den extrahierten grundlegenden Gerätedaten gehören: Betriebssystemdetails, Gerätename, Benutzername und Typ (Berechtigungen), IP-Adressen usw. Squidoor kann mit seinen Modulen kommunizieren und Befehle an diese senden. Bekannte Module waren in der Lage, beliebige Befehle auszuführen, PowerShell-Skripte auszuführen (ohne sich auf die Binärdatei powershell.exe zu verlassen), Dateien einzuführen (hochzuladen), Dateien/Daten zu löschen und bestimmte Dateien zu stehlen.
Wie in der Einleitung erwähnt, wurde diese Backdoor in Kampagnen verwendet, die auf kritische Branchen und sensible Organisationen abzielten. Bei diesen Angriffen wurde die Malware verwendet, um Daten über den Betrieb der angegriffenen Einrichtungen und wichtigen Beamten/Personen zu sammeln.
Es muss erwähnt werden, dass Malware-Entwickler ihre Software und Methoden häufig verbessern. Daher können mögliche zukünftige Versionen von Squidoor zusätzliche/andere Funktionen aufweisen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie Squidoor auf Geräten zu mehreren Systeminfektionen, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Squidoor malware |
| Bedrohung Typ | Trojaner, Backdoor. |
| Namen der Erkennung | Combo Cleaner (Trojan.GenericKD.75928811), Fortinet (PowerShell/Squidoor.A!tr), Ikarus (Win32.Outbreak), Kaspersky (Trojan.PowerShell.Agent.ang), Microsoft (Trojan:Win32/Alevaul!rfn), Vollständige Liste der Erkennungen (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Diebstahl von Passwörtern und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Malware vom Typ Backdoor
Wir haben über zahlreiche bösartige Programme geschrieben; EagerBee, TorNet, SlowStepper und InvisibleFerret sind nur einige unserer jüngsten Artikel über Backdoors.
Malware ist ein weit gefasster Begriff, der Programme mit unterschiedlichen Fähigkeiten umfasst. Sie ist auch nicht auf ihre Klassifizierung/ihren Typ beschränkt. So sind beispielsweise Funktionen zum Datendiebstahl in allen Arten von Malware verbreitet, und Stealer werden oft in Kombination mit anderen Programmen eingesetzt.
Es muss betont werden, dass unabhängig von der Funktionsweise der Schadsoftware ihr Vorhandensein auf einem System die Integrität des Geräts und die Sicherheit der Benutzer gefährdet. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie hat Squidoor meinen Computer infiltriert?
Malware wird hauptsächlich durch Phishing und Social-Engineering-Taktiken verbreitet. Wenn sie sich gegen hochgefährdete Unternehmen richtet, können Malware-Kampagnen sehr gezielt (stark personalisiert) sein.
Schadsoftware ist in der Regel als normale Programm-/Mediendateien getarnt oder mit ihnen gebündelt. Es gibt sie in verschiedenen Formaten, z. B. Archive (ZIP, RAR usw.), ausführbare Dateien (.exe, .run usw.), Dokumente (Microsoft Office, Microsoft OneNote, PDF usw.), JavaScript und so weiter. Das bloße Öffnen einer virulenten Datei kann ausreichen, um die Infektionskette in Gang zu setzen.
Zu den häufigsten Verbreitungsmethoden für Malware gehören: bösartige Anhänge/Links in Spam (z. B. E-Mails, PMs/DMs, SMS, Beiträge in sozialen Medien/Foren usw.), Drive-by-Downloads (heimliche/trügerische Downloads), Online-Betrug, Malvertising, nicht vertrauenswürdige Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, Peer-to-Peer-Netzwerke usw.), raubkopierte Inhalte, illegale Software-Aktivierungs-Tools ("Cracks") und gefälschte Updates.
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, beim Surfen wachsam zu sein, denn das Internet ist voll von betrügerischen und bösartigen Inhalten. Eingehende E-Mails und andere Nachrichten müssen mit Vorsicht genossen werden. Anhänge oder Links, die in verdächtigen/irrelevanten E-Mails gefunden werden, dürfen nicht geöffnet werden, da sie infektiös sein können.
Eine weitere Empfehlung ist, nur von offiziellen und verifizierten Quellen herunterzuladen. Außerdem müssen alle Programme mit legitimen Funktionen/Werkzeugen aktiviert und aktualisiert werden, da die von Dritten bezogenen Programme Malware enthalten können.
Wir müssen betonen, wie wichtig es ist, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit dieser Software müssen regelmäßige System-Scans durchgeführt und erkannte Bedrohungen und Probleme entfernt werden. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist Squidoor?
- SCHRITT 1. Manuelle Entfernung von Squidoor-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit Squidoor-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die Squidoor Malware verursachen kann?
Die Bedrohung durch Malware hängt von ihren Fähigkeiten und dem Modus Operandi der Angreifer ab. Squidoor öffnet eine "Hintertür" zu Computern - es kann Ketteninfektionen verursachen, sich seitlich durch Netzwerke bewegen, sensible Daten sammeln usw. Daher kann dieses Programm mehrere Systeminfektionen, ernste Datenschutzprobleme, finanzielle Verluste und Identitätsdiebstahl verursachen.
Was ist der Zweck der Squidoor-Malware?
Es wurde beobachtet, dass Squidoor bei mutmaßlich geopolitisch motivierten Angriffen zur Cyberspionage eingesetzt wird. Es könnte jedoch auch für andere Zwecke verwendet werden. Die häufigste Motivation ist finanzieller Gewinn. Malware kann aber auch zur Belustigung der Angreifer, zur Durchführung persönlicher Rachefeldzüge, zur Störung von Prozessen (z. B. Websites, Dienste, Organisationen, Unternehmen usw.) und für Hacktivismus eingesetzt werden.
Wie hat die Squidoor-Malware meinen Computer infiltriert?
Malware wird hauptsächlich durch Drive-by-Downloads, Online-Betrug, Spam-Mails, Malvertising, dubiose Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Sharing-Netzwerke usw.), illegale Software-Aktivierungstools ("Cracks"), raubkopierte Inhalte und gefälschte Updates verbreitet. Einige bösartige Programme können sich sogar selbst über lokale Netzwerke und Wechseldatenträger verbreiten.
Wird Combo Cleaner mich vor Malware schützen?
Combo Cleaner ist in der Lage, fast alle bekannten Malware-Infektionen zu erkennen und zu beseitigen. Es muss erwähnt werden, dass die Durchführung eines vollständigen Systemscans unerlässlich ist, da hochentwickelte bösartige Programme dazu neigen, sich tief im System zu verstecken.
Ausgezeichnet!
▼ Diskussion einblenden