FacebookTwitterLinkedIn

Orcus RAT

Conosciuto inoltre come: Trojan di accesso remoto Orcus
Tipo: Trojan
Livello di danno: Grave

Tomas Meskauskas Scitto da il (aggiornato)

Guida alla rimozione del virus Orcus

Cos'è Orcus?

Orcus è un Trojan di accesso remoto (RAT). I programmi di questo tipo vengono utilizzati per accedere o controllare i computer in remoto. In generale, questi strumenti possono essere utilizzati da chiunque legittimamente, tuttavia, in molti casi, i criminali informatici li utilizzano per scopi dannosi. Spesso inducono le persone a installare questi programmi e poi li usano per rubare varie informazioni per generare entrate.

Orcus malware

Il programma Orcus può essere scaricato dal suo sito Web ed è promosso come dotato di funzionalità simili a TeamViewer e ad altri software. Infatti, Orcus include alcune funzionalità illegali come la possibilità di disabilitare la spia di attività della webcam, recuperare le password da applicazioni note e recuperare i cookie del browser. È anche in grado di utilizzare il microfono per registrare il suono (qualsiasi input), eseguire la registrazione dei tasti (registrazione delle sequenze di tasti) e così via. Queste funzionalità non sono incluse nella versione base di Orcus, tuttavia possono essere acquistate per $ 40. Tieni presente che questo RAT è promosso su un forum di hacking in cui le persone possono acquistare e vendere programmi dannosi, exploit, hack e altro materiale di questo tipo. La ricerca mostra che alcuni criminali informatici utilizzano campagne di spam (e-mail) per indurre le persone a installare questo particolare strumento. Inviano e-mail che vengono presentate come messaggi da "Tornio e macchine CNC" come fatture. Queste e-mail includono allegati che, una volta aperti, scaricano e installano Orcus. Le campagne di spam sono uno dei modi più comuni per proliferare le infezioni del computer o strumenti legittimi come i RAT, che possono quindi essere utilizzati in modi dannosi. Se installato, questo strumento può essere utilizzato per rubare password, accessi di account e altri dettagli sensibili e riservati. Alcuni plugin sono in grado di scaricare file, comprese le infezioni del computer come il ransomware. Pertanto, essere indotti a installare questo strumento potrebbe comportare perdite finanziarie, problemi di privacy, infezioni del computer e altri gravi problemi. Se installato, questo strumento potrebbe essere camuffato da un'altra applicazione in esecuzione sullo sfondo del sistema. Nel nostro esempio (vedi screenshot sopra), viene eseguito come un processo "PK Holdings.exe" in Task Manager.

Sommario:
Nome Trojan di accesso remoto Orcus
Tio di minaccia Trojan, virus che rubano password, malware bancario, spyware, trojan di accesso remoto.
Nomi rilevati (s01v1.exe) Avast (Win32:RATX-gen [Trj]), BitDefender (Gen:Heur.MSIL.Bladabindi.1), ESET-NOD32 (Una variante di MSIL/TrojanDropper.Agent.EEB), Kaspersky (HEUR:Trojan.MSIL.Generic), Lista completa (VirusTotal)
Nomi dei processi malevoli PK Holdings.exe
Sintomi I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio. Pertanto, nessun sintomo particolare è chiaramente visibile su una macchina infetta.
Metodi distributivi Allegati email infetti, pubblicità online dannose, ingegneria sociale, crack software.
Danni Informazioni bancarie rubate, password, furto di identità, computer della vittima aggiunto a una botnet, manipolazione del sistema, potenziali infezioni del computer.
Rimozione dei malware (Windows)

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.
▼ Scarica Combo Cleaner
Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.

Ci sono molti trojan di accesso remoto (RAT) su Internet. Qualche esempio sono Agent Tesla, Imminent Monitor, H-Worm, e CrimsonRAT. Questi strumenti sono legittimi, tuttavia, possono essere utilizzati da criminali informatici con intenti dannosi. Se un RAT è presente sul tuo sistema e non l'hai installato intenzionalmente, rimuovilo immediatamente.

Come ha fatto Orcus a infiltrarsi nel mio computer?

Le infezioni del computer possono essere causate utilizzando campagne di spam. Le e-mail vengono inviate con file allegati (o includono collegamenti Web che portano a file infetti). In genere, questi file sono documenti di Microsoft Office, file JavaScript, documenti PDF, eseguibili (file .exe), archivi come RAR, ZIP e così via. Se aperti, scaricano e installano programmi dannosi. Altri modi per diffondere i virus includono Trojan, programmi di aggiornamento software non ufficiali e falsi, canali di download di software non affidabili e strumenti di "cracking" del software. I trojan sono programmi dannosi che di solito scaricano e installano altri programmi di questo tipo. Se installati, causano infezioni a catena e proliferano virus. Gli aggiornamenti software falsi sono strumenti che causano infezioni del computer anziché aggiornare i programmi installati. In alcuni casi, causano infezioni sfruttando bug e difetti di software obsoleto. Download gratuiti e siti Web di hosting di file gratuiti, reti peer-to-peer come client torrent, eMule (e altri programmi di questo tipo), pagine non ufficiali e altri canali di download di software dubbi possono essere utilizzati per proliferare programmi dannosi. I criminali informatici presentano i file infetti come normali, legittimi e innocui, tuttavia, una volta scaricati ed aperti ed eseguiti, installano malware. Le persone utilizzano strumenti di "cracking" del software per aggirare l'attivazione a pagamento del software installato o dei sistemi operativi, tuttavia, questi strumenti possono proliferare le infezioni del computer. Invece di attivare programmi, scaricano e installano programmi dannosi.

Come evitare l'installazione di malware?

Le email irrilevanti devono essere ignorate, soprattutto se vengono ricevute da indirizzi sconosciuti, sospetti o contengono collegamenti Web o file allegati. Il software deve essere scaricato utilizzando siti Web ufficiali e collegamenti diretti (non gli altri strumenti sopra menzionati). Gli aggiornamenti software devono essere effettuati utilizzando strumenti ufficiali o funzioni implementate fornite dagli sviluppatori software ufficiali. Il software a pagamento non deve essere attivato utilizzando strumenti di terze parti, poiché si tratta di un crimine informatico. Inoltre, i criminali informatici spesso li impiegano per proliferare le infezioni del computer. È anche importante che sia installata una suite anti-spyware o antivirus affidabile e mantenerla sempre attiva. Senza questi programmi, i computer diventano vulnerabili alle infezioni del computer. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.

Campagna di spam (email) utilizzata per distribuire Orcus RAT:

Campagna di spam (email) utilizzata per distribuire Orcus RAT

Testo presentato in questa email:

Dear Sir Madam, Good day!
We are trading company in Taiwan with business line of Lathe and CNC Machines, ELECTRICAL, BOLT & NUTS in this regard, Please kindly refer to the following items and offer your best quotation as soon as possible, thank you.
1. C.I.F Kaohsiung Port Taiwan

2. By air .1 By sea separately

3. Do you need photo of name plate for this Machines Attached?
Kindly revert with price asap. Attached is Our Operating Certificate / License and Order for Specification and references
If you have any question, don't hesitate to contact me.
Best Regards

Amy Wu

Sales Manager

PROTOM MACHINERY TOOLS LTD.

55 Chin Shan South Road Sec. 2

Taipei, Taiwan 10603 TAIWAN, R. 0. C.

Please to consider the environment before printing this e-mail

Pannello amministratore di Orcus RAT:

Pannello amministratore di Orcus RAT

Rimozione automatica istantanea dei malware: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
 ▼ SCARICA Combo Cleaner Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

Come rimuovere un malware manualmente?

La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:

processo dannoso in esecuzione sul campione del computer dell'utente

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:

manual malware removal step 1 Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:

screenshot dell'applicazione autoruns

manual malware removal step 2Riavvia il tuo computer in modalità provvisoria:

Windows XP and Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Modalità provvisoria con rete

Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":

Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.

Windows 8 modalità provvisoria con rete

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

windows 10 modalità provvisoria con rete

Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

manual malware removal step 3Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.

extract autoruns.zip e run autoruns.exe

manual malware removal step 4Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".

Fai clic su

manual malware removal step 5Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.

Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"

individuare il file malware che si desidera rimuovere

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.

alla ricerca di file malware sul tuo computer

Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.

Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.

▼ Mostra Discussione

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Chi siamo

PCrisk è un portale di sicurezza informatica, il suo scopo è informare gli utenti di Internet sulle ultime minacce digitali. I nostri contenuti sono forniti da esperti di sicurezza e ricercatori professionisti di malware. Leggi di più su di noi.

Istruzioni di rimozione in altre lingue
Le nuove guide per la rimozione dei virus
Le migliori guide per la rimozione dei virus
Codice QR
Trojan di accesso remoto Orcus Codice QR
Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di Trojan di accesso remoto Orcus sul tuo dispositivo mobile.
Noi raccomandiamo:

Sbarazzati oggi stesso delle infezioni malware dai sistemi Windows:

▼ RIMUOVILO SUBITO
Scarica Combo Cleaner

Piattaforma: Windows

Valutazione degli Editori per Combo Cleaner:
ValutazioneEccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.