Hoe Dante-spyware van geïnfecteerde apparaten te verwijderen

Wat voor soort malware is Dante?

Dante is geavanceerde spyware die wordt gebruikt voor gerichte spionage. De aanvallen maken gebruik van een persistente loader en een backdoor genaamd LeetAgent voor toegang na exploitatie. Dante wordt verspreid via phishing-e-mails die misbruik maken van een kwetsbaarheid in de Chrome-browser. Het primaire doel is het verzamelen van gegevens van organisaties in de media, onderzoeks-, overheids- en financiële sector.

Meer over Dante

Tijdens de levering van Dante is de eerste stap in de aanvalsketen een klein validatiescript dat in de browser van het slachtoffer wordt uitgevoerd om te bevestigen dat de bezoeker een echte gebruiker is, en vervolgens veilig de volgende fase van de aanval ophaalt en uitvoert.

Persistentie wordt bereikt door een techniek te gebruiken waarmee cybercriminelen een Windows-registervermelding kunnen overschrijven, waardoor het systeem hun kwaadaardige DLL laadt in plaats van het echte onderdeel. Die DLL fungeert als een loader, controleert in welk proces deze wordt uitgevoerd, decodeert de belangrijkste malware en start deze met behulp van shellcode.

Bij de aanval wordt ook gebruikgemaakt van LeetAgent, een tool waarmee shell-opdrachten kunnen worden uitgevoerd, programma's kunnen worden gestart, bestanden kunnen worden gelezen en geschreven, shellcode kan worden geïnjecteerd, mappen kunnen worden gewijzigd en taken kunnen worden beheerd. De tool voert ook een keylogger en een bestandsdief uit die zoekt naar veelvoorkomende documenttypen (.doc, .docx, .pdf, .ppt, .pptx, .rtf, .xls en .xlsx).

Bij aanvallen waarbij Dante betrokken is, fungeert LeetAgent als de eerste fase van de malware, die Dante start. Dante is ontworpen om detectie en analyse te vermijden. Het maakt gebruik van VMProtect om zijn code te verbergen en debugging moeilijk te maken. Het controleert ook op debuggers, virtuele machines en analysetools en inspecteert Windows-gebeurtenislogboeken om detectie te vermijden.

Bovendien verwijdert Dante zichzelf en wist het alle sporen van zijn activiteiten als het gedurende een bepaald aantal dagen geen commando's ontvangt. Het is vermeldenswaard dat er niet veel informatie beschikbaar is over de modules van Dante, dus de volledige spionagemogelijkheden en welke gegevens het precies steelt, zijn nog onbekend.

Conclusie

Dante is spyware die wordt verspreid via een meerfasige aanval waarbij een validatorscript, een persistente loader en LeetAgent als eerste fase malware worden gebruikt. Tijdens waargenomen aanvallen kon de malware detectie, anti-debugging en omgevingscontroles omzeilen. Hoewel sommige mogelijkheden bekend zijn, is de volledige omvang van de mogelijkheden voor gegevensverzameling nog niet duidelijk.

Hoe is Dante in mijn computer binnengedrongen?

In bekende gevallen werd Dante verspreid via spear-phishing-e-mails die eruit zagen als legitieme uitnodigingen voor een wetenschappelijk forum. Door op de link te klikken, werd het slachtoffer naar een kwaadaardige website geleid, die de gebruiker verifieerde en de exploit uitvoerde om de infectie te starten. De e-mails waren zorgvuldig opgesteld om authentiek over te komen en bij te houden wie op de links klikte.

Andere veelvoorkomende manieren waarop malware wordt verspreid, zijn illegale software, kraakprogramma's, sleutelgeneratoren, oplichting door technische ondersteuning, kwaadaardige advertenties en soortgelijke kanalen.

Hoe voorkom je de installatie van malware?

Download apps altijd van officiële websites of app stores en vermijd illegale software, cracks of keygens. Wees voorzichtig met e-mails: open geen irrelevante, onverwachte bijlagen of links van onbekende afzenders. Klik niet op advertenties, links, pop-ups of knoppen op verdachte websites en sta nooit toe dat deze websites meldingen weergeven.

Werk geïnstalleerde software en het besturingssysteem regelmatig bij en voer beveiligingsscans uit met behulp van een betrouwbare beveiligingstool. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Kwaadaardige e-mail die Dante verspreidt (bron: securelist.com):

Tekst in deze e-mail (vertaald uit het Russisch):

On behalf of the Organizing Committee of the "Primakov Readings" and the Primakov Institute of World Economy and International Relations of the Russian Academy of Sciences, we have the honor to invite you to take part in the international forum "Primakov Readings", which will be held on June 23-25 at the Moscow International Trade Center and IMEMO RAS.

You can download the official invitation, preliminary program and list of participants on the official website at the link Personal account of the forum guest . To participate in the forum, please fill out the form at the link: Forum participant form

Sincerely,
International forum
"Primakov Readings"

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is Dante?
• STAP 1. Handmatig verwijderen van Dante-malware.
• STAP 2. Controleer of uw computer schoon is.

Hoe malware handmatig verwijderen?

Het handmatig verwijderen van malware is een ingewikkelde taak. Meestal kunt u dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden wij u aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:

Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt gevonden dat verdacht lijkt, moet u deze stappen volgen:

Download een programma met de naam Autoruns. Dit programma toont automatisch startende toepassingen, het register en de locaties van het bestandssysteem:

Start uw computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat het menu Geavanceerde opties van Windows verschijnt en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video die laat zien hoe u Windows 7 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Windows 8-gebruikers: Start Windows 8 op in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster 'Algemene pc-instellingen' dat wordt geopend.

Klik op de knop 'Nu opnieuw opstarten'. Uw computer wordt nu opnieuw opgestart in het menu 'Geavanceerde opstartopties'. Klik op de knop 'Problemen oplossen' en vervolgens op de knop 'Geavanceerde opties'. Klik in het scherm met geavanceerde opties op 'Opstartinstellingen'.

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm Opstartinstellingen wordt weergegeven. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video die laat zien hoe u Windows 8 kunt opstarten in "Veilige modus met netwerkmogelijkheden":

Windows 10-gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".

Selecteer in het menu met geavanceerde opties 'Opstartinstellingen' en klik op de knop 'Opnieuw opstarten'. In het volgende venster moet u op de knop 'F5' op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Video die laat zien hoe u Windows 10 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in de toepassing Autoruns bovenaan op 'Opties' en schakel de opties 'Lege locaties verbergen' en 'Windows-vermeldingen verbergen' uit. Klik na deze procedure op het pictogram 'Vernieuwen'.

Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

U moet het volledige pad en de naam ervan noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".

Nadat u de malware hebt verwijderd via de toepassing Autoruns (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.

Start uw computer opnieuw op in de normale modus. Door deze stappen te volgen, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan malware achteraf te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met Dante-spyware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Het apparaat formatteren is niet nodig. Malware zoals Dante kan vaak worden verwijderd met betrouwbare antivirus- of antimalwaretools zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Met malware kunnen cybercriminelen geïnfecteerde apparaten op afstand bedienen, gevoelige informatie stelen (bijvoorbeeld wachtwoorden of creditcardgegevens), accounts kapen, gegevens versleutelen, extra payloads plaatsen en andere schadelijke acties uitvoeren.

Wat is het doel van Dante?

Dante is spyware, een type malware dat is ontworpen om in het geheim gegevens van een doelsysteem te monitoren en te verzamelen.

Hoe is Dante in mijn computer binnengedrongen?

Dante werd verspreid via spear-phishing-e-mails die waren vermomd als legitieme uitnodigingen voor forums, waardoor slachtoffers naar een kwaadaardige website werden geleid waar de exploit werd uitgevoerd. Malware kan ook worden verspreid via illegale software, cracks, keygens, technische ondersteuningsfraude, kwaadaardige advertenties en soortgelijke methoden.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan de meeste bekende malware detecteren en verwijderen. Omdat geavanceerde bedreigingen zich diep in het systeem kunnen verbergen, is het essentieel om een volledige systeemscan uit te voeren om ze volledig te verwijderen.