FacebookTwitterLinkedIn

Wir wird man NUKESPED Malware los?

Auch bekannt als: NUKESPED Hintertür-Trojaner
Typ: Mac Virus
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am (aktualisiert)

Was ist "NUKESPED"?

NUKESPED ist ein Hintertür-Trojaner, der sich an Mac-Anwender in Korea richtet. Eine Gruppe von Cyberkriminellen, die diese Malware entwickelt und verbreitet haben, wird Lazarus genannt.

Sie haben diese bösartige Software über Excel-Dokumente verteilt und verwenden dabei das Mac App-Bündel, das eine legitime und eine bösartige Version von Adobe Flash Player-Dateien enthält. Cyberkriminelle nutzen NUKESPED als Werkzeug für den Fernzugriff und die Kontrolle infizierter Computer.

NUKESPED scam

Das Mac App-Paket wurde entwickelt, um NUKESPED auszuführen, der als legitime Version von Flash Player und dem eigentlichen Flash Player getarnt ist, um die vorherige Version zu verstecken. Die bösartige Version verwendet die legitime Version, um ein SWF-Video (Adobe Flash-Dateiformat) wiederzugeben.

Während dieses Videos erzeugt die bösartige Version eine versteckte Datei in "~/. FlashUpdateCheck" und installiert einen Persistenzmechanismus für diese Datei über eine "~/Library/Launchagents/com.adobe.macromedia.plist" PLIST-Datei. Die versteckte Datei wird von Cyberkriminellen verwendet, um eine Kommunikation über Command and Control (C&C)-Server herzustellen und verschiedene Aktionen durchzuführen.

Es ist bekannt, dass dieser Trojaner verwendet werden kann, um Prozesse zu beenden, Informationen über das System zu erhalten, die Konfiguration einer Hintertür zu überprüfen und zu aktualisieren, Shell-Befehle auszuführen, Dateien herunterzuladen, hochzuladen und auszuführen. Es ist sehr wahrscheinlich, dass Cyberkriminelle hinter NUKESPED ihn nutzen, um Systeme mit zusätzlicher Malware zu infizieren.

Zum Beispiel Bankmalware, Trojaner anderer Art und so weiter. Installierte Malware könnte verwendet werden, um Daten zu verschlüsseln, Screenshots/Aufzeichnungsbildschirme zu erstellen, Anmeldeinformationen und andere vertrauliche Informationen zu stehlen, verschiedene persönliche Konten zu stehlen, Daten in der Zwischenablage aufzuzeichnen und so weiter.

Typischerweise zielen die meisten Cyberkriminellen auf Informationen ab, die dazu genutzt werden könnten, auf die eine oder andere Weise Einnahmen zu generieren. Zum Beispiel stehlen sie Bankinformationen und/oder verschiedene Konten, um betrügerische Einkäufe zu tätigen, Transaktionen usw., infizieren Systeme mit Ransomware, um Opfer zu erpressen, indem sie verlangen, ein Lösegeld als Gegenleistung für eine Entschlüsselungssoftware zu zahlen, und so weiter.

In den meisten Fällen führt die Infektion eines Computers mit bösartiger Software wie dem NUKESPED Hintertür-Trojaner zu finanziellen Verlusten, Datenschutzproblemen, Browsersicherheit, Datenverlust und anderen schwerwiegenden Problemen.

Zusammenfassung der Bedrohung:
Name NUKESPED Hintertür-Trojaner
Art der Bedrohung Trojaner
Erkennungsnamen Avast (MacOS:NukeSpeed-C [Trj]), BitDefender (Trojan.MAC.Lazarus.C), ESET-NOD32 (OSX/NukeSped.C), Kaspersky (HEUR:Trojan-Dropper.OSX.Agent.d), Vollständige Liste (VirusTotal)
Bösartiger Prozessname .Flash Player
Symptome Trojaner sind so konzipiert, dass sie heimlich in den Computer des Opfers eindringen und sich ruhig verhalten, so dass auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar sind.
Verbreitungsmethoden Infizierte E-Mail Anhänge, falsche Flash Player Installations- oder Updateprogramme, bösartige online Werbung, Social Engineering, Software 'Cracks'.
Schaden Gestohlene Passwörter und Bankinformationen, Identitätsdiebstahl, der Computer des Opfers wurde einem Botnet hinzugefügt, Installation anderer Malware.
Entfernung

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mac mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Mac herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Weitere Beispiele für Hintertür-Trojaner sind Casbaneiro, Kryptik und GoBotKR. Typischerweise versuchen Cyberkriminelle, die solche Malware verbreiten, Computer mit Malware zu infizieren, die ihnen helfen würde, eine Vielzahl vertraulicher Informationen zu stehlen.

In den meisten Fällen besteht ihr Hauptziel darin, ihren Opfern Geld zu entziehen oder ihre vertraulichen Daten zu missbrauchen, um auf andere Weise Einnahmen zu generieren. Besteht Grund zu der Annahme, dass ein Trojaner (oder eine andere Malware) auf dem System installiert ist, sollte dieser sofort entfernt werden.

Wie wurden potenziell unerwünschte Anwendungen auf meinem Computer installiert?

Wie bereits erwähnt, verbreiten Cyberkriminelle NUKESPED über das Mac App-Paket, das eine legitime und eine bösartige Version von Adobe Flash Player enthält. Es ist jedoch nicht die einzige Möglichkeit, Malware zu verbreiten.

Nicht selten tun es Cyberkriminelle mit Hilfe von Spam-Kampagnen (E-Mails), gefälschten Software-Updateprogrammen, unzuverlässigen Software-Download-Quellen und Software-"Cracking"-Tools (inoffizielle Aktivierung). Spam-Kampagnen werden eingesetzt, um Systeme durch bösartige E-Mail-Anhänge zu infizieren.

Beispiele für Dateien, die Cyberkriminelle normalerweise anhängen, sind Microsoft Office- und PDF-Dokumente, ausführbare Dateien (wie.exe), JavaScript-Dateien, Archive wie ZIP und RAR, etc. Beim Öffnen werden diese Anhänge mit bösartiger Software installiert.

Gefälschte Software-Updateprogramme infizieren Computer, indem sie Fehler, Schwachstellen oder andere Schwachstellen veralteter Software ausnutzen oder bösartige Software installieren, anstatt installierte zu aktualisieren. Peer-to-Peer-Netzwerke (eMule, Torrent-Clients usw.), Drittanbieter-Downloadprogramme, Freeware- und kostenlose Datei-Hosting-Websites und andere ähnliche Downloadquellen werden häufig als Tools zum Hochladen bösartiger Dateien verwendet.

Normalerweise tarnen Cyberkriminelle sie als legitim. Wenn man Dateien über solche Quellen herunterlädt und sie dann öffnet/ausführt, riskiert man, selbst Installationen verschiedener Malware zu verursachen.

Software "Cracking"-Tools sind Programme, die in der Regel dazu bestimmt sind, kostenpflichtige Software kostenlos zu aktivieren. Dennoch gestalten Cyberkriminelle sie oft so, dass sie auch Malware verbreiten.

Einfach gesagt, installieren Tools dieser Art oft bösartige Programme, anstatt eine installierte Software oder ein Betriebssystem zu aktivieren.

Wie kann man die Installation von potenziell unerwünschten Anwendungen vermeiden?

Software sollte nicht über verschiedene Software-Downloadprogramme, Installationsprogramme oder andere unzuverlässige Quellen, die wir oben erwähnt haben, heruntergeladen (oder installiert) werden. Es sollte nur über offizielle und vertrauenswürdige Websites und direkte Links heruntergeladen werden.

Inoffizielle/Drittanbieter-Tools sollten nicht zum Aktualisieren von Software verwendet werden, der einzig richtige Weg ist die Verwendung von implementierten Funktionen oder Tools, die von offiziellen Softwareentwicklern bereitgestellt werden. Anhänge, die in irrelevanten E-Mails enthalten sind und/oder E-Mails, die von unbekannten, verdächtigen Adressen stammen, sollten nicht vertrauenswürdig sein.

An sie angehängte Dateien sollten nur dann geöffnet werden, wenn kein Grund zur Annahme besteht, dass sie nicht sicher sind. Darüber hinaus ist es nicht legal, Software oder Betriebssysteme mit Hilfe von Software-"Cracking"-Tools zu aktivieren, da diese Tools oft zu Installationen verschiedener Malware führen.

Und schließlich empfehlen wir, eine seriöse Anti-Spyware- oder Antivirensoftware installieren zu lassen und Computer regelmäßig damit zu scannen. Wenn Ihr Computer bereits mit PUAs infiziert ist, empfehlen wir, eine Überprüfung mit durchzuführen, um diese automatisch zu entfernen.

Darstellung einer bösartigen Flash Player-Version, bei der die legitime Version zur Wiedergabe eines SWF-Dateiformats (GIF) verwendet wird:

Appearance of NUKESPED playing SWF video through malicious Flash Player

Bösartige Flash Player-Version, die im Activity Monitor ausgeführt wird:

nukesped activity monitor

Umgehende automatische Entfernung von Mac-Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Mac-Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter (Mac) Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Das Video zeigt, wie man Adware und Browserentführer von einem Mac Computer entfernt:

Entfernung potenziell unerwünschter Anwendungen:

Potenziell unerwünschte Anwendungen von Ihrem "Programme" Ordner entfernen:

mac browser hijacker removal from applications folder

Klicken Sie auf das Finder Symbol. Im Finder Fenster, wählen Sie "Programme". Im Anwendungen Ordner, suchen Sie nach “MPlayerX”,“NicePlayer”, oder anderen verdächtigen Anwendungen und ziehen sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die online Werbung verursachen, scannen Sie Ihren Mac auf verbleibende, unerwünschte Komponenten.

NUKESPED Hintertür-Trojaner bezogene Dateien und Ordner entfernen:

Finder go to folder command

Klicken Sie auf das Finder Symbol aus der Menüleiste, wählen Sie Gehen und klicken Sie auf Zum Ordner gehen...

step1Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchAgents Ordner:

removing adware from launch agents folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/LaunchAgents

removing adware from launch agents folder step 2
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step2Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/Application Support Ordner:

removing adware from application support folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/Application Support

removing adware from application support folder step 2
Im "Application Support" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Ordnern. Zum Beispiel "MplayerX" oder "NicePlayer" und bewegen Sie diese Ordner in den Papierkorb.

step3Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im ~/Library/LaunchAgents Ordner:

removing adware from ~launch agents folder step 1


Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchAgents

removing adware from ~launch agents folder step 2Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese Ordner in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step4Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchDaemons Ordner:

removing adware from launch daemons folder step 1
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchDaemons

removing adware from launch daemons folder step 2Im "LaunchDaemons" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien. Zum Beispiel "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist", etc., und bewegen Sie diese in den Papierkorb.

step 5 Scannen Sie Ihren Computer mit Combo Cleaner:

Wenn Sie alle Schritte in der richtigen Reihenfolge befolgt haben, sollte Ihr Mac frei von Infektionen sein. Um sicherzustellen, dass Ihr System nicht infiziert ist, scannen Sie es mit Combo Cleaner Antivirus. HIER herunterladen. Nach dem Herunterladen der Datei, klicken Sie auf das Installationsprogramm combocleaner.dmg. Ziehen Sie im geöffneten Fenster das Symbol Combo Cleaner auf das Symbol Anwendungen und legen Sie es dort ab. Öffnen Sie jetzt Ihr Launchpad und klicken Sie auf das Symbol Combo Cleaner. Warten Sie, bis Combo Cleaner seine Virendatenbank aktualisiert hat und klicken Sie auf die Schaltfläche „Combo Scan starten“.

scan-with-combo-cleaner-1

Combo Cleaner scannt Ihren Mac jetzt auf Infektionen mit Malware. Wenn der Antivirus-Scan „Keine Bedrohungen gefunden“ anzeigt, heißt das, dass Sie mit dem Entfernungsleitfaden fortfahren können. Andernfalls wird empfohlen, alle gefundenen Infektionen vorher zu entfernen.

scan-with-combo-cleaner-2

Nachdem Dateien und Ordner entfernt wurden, die von dieser werbefinanzierten Software erzeugt wurden, entfernen Sie weiter falsche Erweiterungen von Ihren Internetbrowsern.

NUKESPED Hintertür-Trojaner Startseiten und Standard Internetsuchmaschinen von Internetbrowsern:

safari browser iconBösartige Erweiterungen von Safari entfernen:

NUKESPED Hintertür-Trojaner bezogene Safari Erweiterungen entfernen:

safari browser preferences

Öffnen Sie den Safari Browser. Aus der Menüleiste wählen Sie "Safari" und klicken Sie auf "Benutzereinstellungen...".

safari extensions window

Im Benutzereinstellungen Fenster wählen Sie "Erweiterungen" und suchen Sie nach kürzlich installierten, verdächtigen Erweiterungen. Wenn Sie sie gefunden haben, klicken Sie auf "Deinstallieren" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von ihrem Safari Browser deinstallieren können. Keine davon sind unabdingbar für die normale Funktion des Browsers.

  • Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Safari zurücksetzen.

firefox browser iconBösartige Programmerweiterungen von Mozilla Firefox entfernen:

NUKESPED Hintertür-Trojaner bezogene Mozilla Firefox Zusätze entfernen:

accessing mozilla firefox add-ons

Öffen Sie Ihren Mozilla Firefox Browser. In der oberen rechten Ecke des Bildschirms, klicken Sie auf das "Menü öffnen" (drei horizontale Linien) Symbol. Aus dem geöffneten Menü wählen Sie "Zusätze".

removing malicious add-ons from mozilla firefox

Wählen Sie den "Erweiterungen" Reiter und suchen Sie nach allen kürzlich installierten, verdächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Entfernen" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen deinstallieren von Ihrem Mozilla Firefox Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

chrome-browser-iconBösartige Erweiterungen von Google Chrome entfernen:

NUKESPED Hintertür-Trojaner bezogene Google Chrome Zusätze entfernen:

removing malicious google chrome extensions step 1

Öffnen Sie Google Chrome und klicken Sie auf das "Chrome Menü" (drei horizontale Linien) Symbol, das sich in der rechten oberen Ecke des Browserfensters befindet. Vom Klappmenü wählen Sie "Mehr Hilfsmittel" und wählen Sie "Erweiterungen".

removing malicious Google Chrome extensions step 2

Im "Erweiterungen" Fenster, suchen Sie nach allen kürzlich installierten, versächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Papierkorb" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von Ihrem Google Chrome Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
NUKESPED Hintertür-Trojaner QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für NUKESPED Hintertür-Trojaner auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Mac-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Mac herunterladen

Plattform: macOS

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.