Come rimuovere sLoad dal sistema operativo
Scitto da Tomas Meskauskas il (aggiornato)
Come rimuovere sLoad virus
Cos'è sLoad?
sLoad (noto anche come StarsLord) è il nome di un software dannoso che infetta i sistemi operativi con altri malware (ad esempio un Trojan bancario o un ransomware). In questo modo, sLoad funziona come downloader o dropper di malware. La ricerca mostra che i criminali informatici diffondono sLoad tramite campagne spam (email), ovvero attraverso documenti dannosi allegati ai messaggi di posta elettronica. Se ritieni che sLoad (e il relativo payload) possano essere installati sul sistema operativo, rimuovilo immediatamente.
I criminali informatici che diffondono sLoad prendono di mira gli utenti con sistema operativo Windows. Questo malware raccoglie informazioni di sistema e le invia a cyber criminali attraverso un server C2 (Command & Control). Si noti che invia informazioni al server C2 e riceve anche comandi attraverso di esso. La ricerca mostra che sLoad comunica con il suo server C2 utilizzando Windows BITS (un servizio che Windows utilizza per inviare aggiornamenti del sistema operativo). Imposta attività pianificate BITS, che vengono eseguite a intervalli regolari. Le attività consentono a sLoad di comunicare con il suo server Command & Control ed eseguire attività come il download di malware aggiuntivo, che potrebbe essere utilizzato per infettare il sistema con un diverso software dannoso. Uno dei possibili payload potrebbe essere un Trojan (come Lampion) che ruba informazioni personali. In genere, software di questo tipo ruba informazioni che i criminali informatici potrebbero utilizzare per generare entrate in vari modi. Ad esempio, credenziali (accessi, password) di vari account, dettagli della carta di credito e altri dati sensibili. I criminali informatici abusano dei dettagli rubati per effettuare acquisti, transazioni, rubare identità fraudolenti e così via. Pertanto, le persone con computer infettati da software di questo tipo subiscono perdite finanziarie, problemi relativi alla privacy, alla sicurezza della navigazione e così via. sLoad può anche essere usato per infettare il sistema operativo con un ransomware. Questo tipo di software di solito crittografa i dati (rendendo i file inaccessibili) in modo che le vittime non possano decrittografare i file senza strumenti o chiavi di decrittazione che possono essere acquistati solo dai criminali informatici. In generale, il ransomware causa perdita di dati e denaro. Sfortunatamente, ci sono molti altri programmi dannosi che possono essere installati tramite sLoad. Tieni presente che i criminali informatici utilizzano programmi come sLoad per generare quante più entrate possibili e che qualsiasi computer infetto da esso porterà a gravi problemi.
| Nome | sLoad (StarsLord) virus |
| Tipo di minaccia | Malware dropper/downloader |
| Nomi rilevati | Avast (Other:Malware-gen [Trj]), BitDefender (Dropped:Heur.BZC.MTN.Leopard.1.0F163537), ESET-NOD32 (BAT/TrojanDownloader.Agent.NYM), Kaspersky (HEUR:Trojan-Downloader.VBS.SLoad.gen), Lista completa (VirusTotal) |
| Nomi dei processi malevoli | WAN Service (il nome può variare). |
| App installate | sLoad potrebbe essere utilizzato per infettare i sistemi con Trojan, ransomware e altri malware. |
| Sintomi | Programmi come sLoad sono progettati per infiltrarsi di nascosto nel computer della vittima e rimanere in silenzio, e quindi nessun particolare sintomo è chiaramente visibile su una macchina infetta. |
| Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, "crepe" del software. |
| Danni | Password ed informazioni bancarie rubate, furto di identità, computer della vittima aggiunto a una botnet. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
ZLoader, Legion Loader e Buer Loader sono alcuni esempi di altri programmi dannosi che funzionano anche come dropper di malware. Pertanto, installano un payload di malware. In genere, i criminali informatici dietro questi programmi cercano di installare malware ad alto rischio sul maggior numero di computer possibile, il che aumenta la possibilità di generare più entrate. Come accennato, malware come sLoad devono essere rimossi immediatamente dal sistema infetto, altrimenti potrebbero causare un'ulteriore installazione di questo tipo di software.
In che modo sLoad si è infiltrato nel mio computer?
I criminali informatici diffondono sLoad tramite campagne di spam. Inviano email che contengono un allegato dannoso e sperano che le persone lo aprano. Nel nostro esempio (come nello screenshot seguente), un'email include un file di archivio (ZIP) che contiene un file eseguibile dannoso. Se aperto / eseguito, il file installa sLoad. Altri esempi di file che i criminali informatici di solito allegano alle loro email sono MS Office, documenti PDF, file eseguibili (.exe) e file JavaScript. Inoltre, il malware può essere distribuito anche in altri modi. Ad esempio, software discutibile scarica fonti o canali, trojan, strumenti di aggiornamento e attivazione ("cracking") falsi (non ufficiali). Esempi di canali di download di file e software non attendibili sono reti peer-to-peer (ad es. Client torrent, eMule), siti Web di download gratuiti, downloader di terze parti, pagine di hosting di file gratuite, siti Web non ufficiali, ecc. I criminali informatici li usano per ospitare file dannosi che si mascherano regolarmente. Una volta scaricati e aperti, installano malware ad alto rischio. I trojan spesso causano infezioni a catena: quando un computer è infetto da un trojan, il programma provoca l'installazione di altri software di questo tipo. I programmi di aggiornamento software non ufficiali infettano i sistemi scaricando e installando programmi dannosi anziché aggiornare o correggere il software installato, oppure sfruttano bug / difetti di qualsiasi software obsoleto installato sul computer. Vari strumenti di "cracking" presumibilmente attivano software con licenza gratuita (aggirando l'attivazione a pagamento), tuttavia, possono distribuire malware - le persone che li usano spesso causano l'installazione di programmi dannosi.
Come evitare l'installazione di malware
Non aprire allegati o collegamenti Web presentati in e-mail irrilevanti o email che vengono ricevute da indirizzi sconosciuti e sospetti. I collegamenti Web o gli allegati inclusi devono essere aperti solo quando si è sicuri che siano sicuri. Tutti i file e i programmi devono essere scaricati da fonti ufficiali e affidabili (siti Web). Dovrebbero essere evitati siti Web non ufficiali, vari downloader di terze parti, installatori e altri canali (menzionati sopra). Il software deve essere aggiornato tramite funzioni implementate o strumenti progettati da sviluppatori ufficiali. Se i sistemi operativi o i programmi installati richiedono l'attivazione, utilizzare metodi e software ufficiali. È illegale utilizzare strumenti di "cracking" che possono infettare i sistemi con malware. Infine, ti consigliamo di scansionare regolarmente il sistema operativo alla ricerca di minacce con antivirus o software anti-spyware affidabili, che dovrebbero essere tenuti aggiornati. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Esempio di allegato dannoso (.zip), che contiene un file progettato per installare sLoad:
Testo in questa email:
Subject: Invio File IT20798069622_tch63
Invio file IT20798069622_tch63, con identificativo 77402443375. In allegato il file contenente la fattura ed il file contenente i metadati.
La mail e' inviata dal Sistema di Interscambio per la fatturazione elettronica (L. 244/2007).
Se il file allegato presenta estensione .xml.p7m vuol dire che e' stato firmato digitalmente con firma Cades; per aprirlo e' necessario installare sul proprio computer un apposito software.
Tali software sono facilmente reperibili sul web sia a pagamento che gratuitamente (licenza open source). Il file xml ottenuto dopo aver 'decifrato' la firma puo' essere agevolmente visualizzato in formato PDF utilizzando la funzionalita` 'Visualizza PDF Fattura' dell'area 'Fatturazione elettronica' del sito Fatture e Corrispettivi.
Per qualsiasi necessita' di chiarimenti non rispondere a questa mail, ma utilizzare i tradizionali canali di assistenza presenti sul sito www.fatturapa.gov.it.
Il nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio. L'utilizzo di un indirizzo diverso non garantisce il buon esito del recapito al destinatario.
Esempi di processi malevoli ("WAN Service") che sLoad usa per distinguersi:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è sLoad?
- STEP 1. Rimozione manuale di sLoad malware.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP and Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "5" per l'avvio in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner
Eccezionale!
▼ Mostra Discussione