Nymeria Trojan
Scitto da Tomas Meskauskas il
Nymeria virus, guida di rimozione
Cos'è Nymeria?
Nymeria (noto anche come Loda) è un virus trojan ad alto rischio, che funge da keylogger e strumento di accesso remoto (RAT). Questo malware è scritto nel linguaggio AutoIT scripting. Sebbene piuttosto semplice da un punto di vista tecnico, Nymeria è estremamente pericoloso e può causare problemi relativi alla sicurezza e alla privacy del computer. La ricerca mostra che, nella maggior parte dei casi, i criminali informatici diffondono Nymeria utilizzando campagne di posta elettronica spam.
Come accennato in precedenza, Nymeria è in grado di eseguire varie azioni a seconda dell '"attore di minaccia", poiché Nymeria è progettata per ricevere comandi da un Command & Control (server C&C). Dopo un'infiltrazione riuscita, Nymeria inserisce una copia della sua immagine eseguibile nella cartella "%TEMP%" e crea un'attività pianificata in modo che venga eseguita costantemente. Inoltre, Nymeria registra vari parametri / informazioni di sistema e li invia al server remoto. Di seguito è possibile visualizzare l'elenco dei dati raccolti. La comunicazione viene quindi effettuata con il server C&C da cui Nymeria è in grado di scaricare e caricare file. Registra inoltre i tasti premuti e invia i dati registrati al C&C. Nymeria è in grado di controllare la webcam del computer, il microfono, chiudere i processi in esecuzione ed eseguire una serie di altre attività dannose (la funzionalità Nymeria è anche elencata di seguito). Il programma è controllato tramite un server C&C identico, in questo modo i criminali inviano in remoto comandi specifici per l'esecuzione di Nymeria. La presenza di questo malware può portare a gravi conseguenze. In primo luogo, i criminali informatici potrebbero avere accesso agli account personali della vittima, inclusi e-mail, social network, banche e così via. Possono rubare le identità delle vittime, causare vari problemi di privacy e rubare denaro. Inoltre, poiché Nymeria scarica ed esegue vari file, può essere utilizzata come "backdoor" per infiltrare altri malware nel sistema. In precedenza, Nymeria è stata utilizzata per proliferare un'altra infezione da malware ad alto rischio chiamata ISR Stealer, che ruba anche le credenziali dell'account. In effetti, il malware in grado di eseguire una serie specifica di azioni viene spesso utilizzato per proliferare altri virus che coprono funzionalità diverse. In ogni caso, la presenza di Nymeria potrebbe portare a infiltrazioni di ransomware, il che potrebbe portare alla perdita permanente dei dati: i virus di tipo ransomware sono progettati per crittografare i file e presentare richieste di riscatto. Il pagamento di un riscatto non ha alcun valore reale, poiché i criminali spesso ignorano le vittime. Pertanto, se si è interessati da un'infezione da ransomware, la soluzione migliore è ripristinare tutto da un backup. Si noti che Nymeria è in grado di manipolare la webcam e il microfono del computer, entrambi utilizzabili per registrare l'utente. I criminali informatici spesso dichiarano di aver registrato materiale compromettente e lo usano per scopi di ricatto. In sintesi, Nymeria rappresenta una minaccia significativa per la privacy, il computer, i dati e la sicurezza finanziaria. Pertanto, eliminare immediatamente questa infezione.
Nome | Trojan.Nymeria virus |
Tipo di minaccia | Trojan, virus che ruba password, malware bancario, spyware |
Nomi trovati | Avast (Win32:Malware-gen), BitDefender (AIT:Trojan.Nymeria.219), ESET-NOD32 (una variante di Win32/Autoit.CK), Kaspersky (Trojan-Dropper.Win32.Scrop.ecv), Lista completa (VirusTotal) |
Nomi processi malevoli | JARBRY.exe (il nome del processo può variare in base all'eseguibile dannoso). |
Sintomi | I trojan sono progettati per infiltrarsi di nascosto nel computer della vittima e rimanere in silenzio, quindi nessun particolare sintomo è chiaramente visibile su una macchina infetta. |
Metodi distributivi | Allegati e-mail infetti, pubblicità online dannose, social engineering, software crack. |
Danni | Informazioni bancarie rubate, password, furto di identità, computer della vittima aggiunto a una botnet. |
Rimozione | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esistono molti virus di tipo trojan simili a Nymeria tra cui, ad esempio, FormBook, Hancitor, TrickBot, e Adwind. Non tutti sono versatili come Nymeria. Alcuni raccolgono informazioni, mentre altri usano impropriamente le risorse di sistema per estrarre criptovaluta o causare "infezioni a catena". Sebbene questo comportamento differisca, la loro presenza può portare a problemi relativi alla privacy e alla sicurezza del computer. Pertanto, è necessario eliminare immediatamente queste minacce.
In che modo Nymeria si è infiltrata nel mio computer?
Come accennato in precedenza, Nymeria viene generalmente distribuita tramite campagne di posta elettronica spam. I criminali informatici inviano migliaia di e-mail ingannevoli con allegati dannosi (in genere documenti di Microsoft Word). Queste e-mail contengono messaggi ingannevoli che incoraggiano gli utenti ad aprire file allegati (o, in alcuni casi, collegamenti che portano a questi file). I criminali spesso dichiarano di essere dipendenti di aziende popolari e presentano questi allegati come fatture, fatture, ecc. Una volta aperti, i documenti di MS Office chiedono agli utenti di abilitare i comandi macro, tuttavia, nel farlo, gli utenti inavvertitamente concedono l'autorizzazione per il download degli allegati e nymeria installato nel sistema. Sebbene la maggior parte dei file utilizzati per proliferare Nymeria siano documenti di Microsoft Word, è stata anche proliferata utilizzando collegamenti per il download diretto, PDF e file eseguibili.
Come evitare l'installazione di malware?
La mancanza di conoscenza e il comportamento negligente sono i motivi principali delle infezioni del computer. La chiave per la sicurezza è cautela. Pertanto, prestare attenzione durante la navigazione in Internet. Si consiglia di riflettere attentamente prima di aprire gli allegati di posta elettronica. Se il file / collegamento è stato inviato da qualcuno sospetto / irriconoscibile o sembra irrilevante (non ti riguarda), non aprirlo. Ricorda che queste persone spesso abusano della curiosità degli utenti - non cadere in questo stratagemma. Avere installato e in esecuzione un software antivirus / antispyware legittimo, poiché questi strumenti sono in grado di rilevare ed eliminare il malware prima che danneggi. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Schermata dell'eseguibile Nymeria nella cartella "% TEMP%":
Allegato dannoso che distribuisce Nymeria:
Elenco delle informazioni di sistema raccolte da Nymeria:
- Una stringa hard coded (vista "vittima", "Clientv4")
- Stringa codificata (vista "ddd")
- Fornitore AV installato (elencato tramite i nomi dei processi in esecuzione)
- Versione malware, ovvero 1.0.1
- Monitorare la risoluzione in un formato speciale ("Pr [Altezza] X2 [Larghezza] X3")
- Tipo di sistema operativo (può essere "laptop", "Desktop" o "x", elencato utilizzando la query WMI "Seleziona * da Win32_SystemEnclosure")
- Nome dell'account utente
- Versione (beta)
- Paese della vittima
- Indirizzo IP della vittima
- Webcam installata (Sì o No, elencata utilizzando capGetDriverDescription da Avicap32.dll)
- Architettura di Windows (X64 o X86)
- Versione di Windows
Elenco delle funzionalità di Nymeria:
- Comando ShellExecute di base
- Cattura screenshot e invia a C&C
- Cambia lo sfondo tramite le modifiche del registro
- Chiudi un processo in esecuzione
- Chiudi Windows Media Player (probabilmente correlato a quanto sopra)
- Copia file o directory (percorsi richiesti da C&C)
- Creare una finestra di chat GUI (conversazione vittima / attaccante salvata in un file; vedere la Figura 8)
- Elimina i cookie di Chrome / Firefox (chiude il browser per farlo)
- Elimina i dati di keylogger
- Rileva impostazioni UAC
- Scarica ed esegui un file (percorso HTTP specificato da C&C)
- Scarica e riproduci file .wav da C&C
- Enumera le unità collegate
- Enumera le posizioni comuni delle cartelle (Desktop / Immagini / Profilo / Appdata / Temp)
- Eseguire uno streaming di Windows Media Player nascosto da un MMS radio arabo
- Ottieni dimensioni di file o directory (percorso richiesto da C&C)
- Apri / Chiudi vassoio CD
- Leggi il testo alla vittima usando SAPI.SpVoice (testo inviato da C&C)
- Ricevi dati da C&C e scrivi come binario (eseguibile) ed eseguilo
- Ricevi testo da C&C e scrivi su file (probabilmente per file batch)
- Registra webcam
- Registra i suoni del microfono usando Windows Sound Recorder
- Invia un file a C&C
- Invia clic del mouse (sinistra o destra sono comandi separati)
- Invia i nomi dei processi in esecuzione a C&C
- PC vittima di spegnimento
- Carica i dati di keylogger
- File Zip / Unzip (per esfilare in C&C o decomprimere da C&C)
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è Nymeria?
- STEP 1. Rimozione manuale di Nymeria malware.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando Task Manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP and Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare il nome del malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascosti prima di procedere. Se trovi il file del malware assicurati di rimuoverlo.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovrebbe aiutare a rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercano di rimuovere il malware in seguito. Per proteggere il computer, assicurarsi di installare gli aggiornamenti del sistema operativo più recenti e utilizzare il software antivirus.
Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
▼ Mostra Discussione