Hoe StreamSpy van geïnfecteerde apparaten te verwijderen

Wat voor soort malware is StreamSpy?

StreamSpy is een nieuw geïdentificeerde Trojan die wordt gebruikt door de Patchwork (APT-Q-36) dreigingsgroep. Het communiceert met zijn commandoserver via zowel WebSocket als HTTP, waarbij WebSocket wordt gebruikt voor het ontvangen van instructies en het verzenden van resultaten, en HTTP voor taken zoals bestandsoverdracht. StreamSpy vertoont overeenkomsten met de Spyder-downloader.

Meer over StreamSpy

StreamSpy begint met het ontgrendelen van zijn verborgen instellingen, die het programma instrueren hoe het moet communiceren met zijn commandoserver, hoe het zichzelf moet identificeren en hoe het zijn aanwezigheid op het systeem moet handhaven. Vervolgens scant het het apparaat en verzamelt het een breed scala aan systeemgegevens, zoals de computernaam, gebruikersnaam, versie van het besturingssysteem, antivirussoftware en hardware-ID's.

Het combineert deze gegevens om een unieke identificatiecode voor de geïnfecteerde machine te creëren en stuurt deze naar de server van de aanvaller. Om ervoor te zorgen dat het na het opnieuw opstarten actief blijft, stelt StreamSpy persistentie in met behulp van methoden zoals geplande taken, speciale registersleutels of snelkoppelingen in de opstartmap.

StreamSpy ondersteunt verschillende commando's. Het kan willekeurige shell-commando's uitvoeren via zowel cmd.exe als PowerShell, waardoor aanvallers volledige toegang krijgen tot functies op systeemniveau. De malware kan payloads downloaden en uitvoeren, waaronder versleutelde ZIP-archieven die het ontsleutelt en lokaal uitvoert om aanvullende tools te implementeren.

Het heeft ook de mogelijkheid om bestanden over te dragen, waardoor cybercriminelen nieuwe bestanden naar het systeem kunnen uploaden of geselecteerde bestanden kunnen exfiltreren. Bovendien kan de malware bestanden verwijderen of hernoemen, waardoor opschoning, gegevensmanipulatie of voorbereiding op verdere fasen mogelijk wordt.

Ten slotte kan het alle schijven opsommen die op het geïnfecteerde apparaat zijn aangesloten. Het kan details verzamelen zoals de totale en beschikbare capaciteit, het type bestandssysteem en of een apparaat verwijderbaar is.

Conclusie

Over het algemeen is StreamSpy een Trojaans paard waarmee cybercriminelen informatie kunnen stelen en verschillende acties kunnen uitvoeren op het geïnfecteerde apparaat. Deze bedreiging kan leiden tot problemen zoals identiteitsdiefstal, extra infecties, accountkaping, geldverlies en andere problemen. Als StreamSpy wordt gedetecteerd, moet het zo snel mogelijk uit het systeem worden verwijderd.

Andere voorbeelden van malware die als Trojaanse paarden worden geclassificeerd, zijn onder meer Vidar 2.0, Efimer en SilentRoute.

Hoe is StreamSpy op mijn computer terechtgekomen?

Het is bekend dat StreamSpy wordt verspreid via een kwaadaardig ZIP-archief. In één waargenomen geval hebben de aanvallers een bestand met de naam "OPS‑VII‑SIR.zip" op een externe server gehost. In dit ZIP-bestand hebben ze het uitvoerbare bestand van StreamSpy opgenomen, maar dit vermomd met een pictogram in PDF-stijl om het onschuldig te laten lijken.

Ze hebben ook echte PDF-documenten toegevoegd om het slachtoffer te laten denken dat het archief legitiem is. Wanneer een gebruiker het ZIP-bestand opent en het uitvoerbare bestand start, infiltreert de StreamSpy-malware het systeem. Deze methode staat bekend als social engineering, waarbij de aanvaller het slachtoffer misleidt om de malware handmatig te starten.

Het is niet precies bekend hoe cybercriminelen gebruikers misleiden om een kwaadaardig ZIP-bestand te downloaden, maar dit kan gebeuren via een frauduleuze website, een misleidende e-mail, een kwaadaardige advertentie, een berichtenapp, een socialemediaplatform of een soortgelijk kanaal.

Hoe voorkom je de installatie van malware?

Wees voorzichtig met e-mailbijlagen of links in onverwachte of irrelevante berichten van onbekende afzenders. Download software altijd van officiële bronnen, zoals vertrouwde websites of app stores, en vermijd illegale programma's, sleutelgeneratoren en kraakprogramma's. Gebruik betrouwbare beveiligingssoftware en voer regelmatig systeemscans uit.

Houd uw besturingssysteem en applicaties up-to-date. Weiger meldingen van twijfelachtige websites. Klik niet op pop-ups, advertenties, knoppen of links op onofficiële of verdachte websites. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is StreamSpy?
• STAP 1. Handmatige verwijdering van StreamSpy-malware.
• STAP 2. Controleer of uw computer schoon is.

Hoe malware handmatig verwijderen?

Het handmatig verwijderen van malware is een ingewikkelde taak. Meestal kunt u dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden wij u aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:

Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt gevonden dat verdacht lijkt, moet u deze stappen volgen:

Download een programma met de naam Autoruns. Dit programma toont automatisch startende toepassingen, het register en de locaties van het bestandssysteem:

Start uw computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet. Selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video die laat zien hoe u Windows 7 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Windows 8-gebruikers: Start Windows 8 op in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster 'Algemene pc-instellingen' dat wordt geopend.

Klik op de knop 'Nu opnieuw opstarten'. Uw computer wordt nu opnieuw opgestart in het menu 'Geavanceerde opstartopties'. Klik op de knop 'Problemen oplossen' en vervolgens op de knop 'Geavanceerde opties'. Klik in het scherm met geavanceerde opties op 'Opstartinstellingen'.

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm Opstartinstellingen wordt weergegeven. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video die laat zien hoe u Windows 8 kunt opstarten in "Veilige modus met netwerkmogelijkheden":

Windows 10-gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".

Selecteer in het menu met geavanceerde opties 'Opstartinstellingen' en klik op de knop 'Opnieuw opstarten'. In het volgende venster moet u op de knop 'F5' op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Video die laat zien hoe u Windows 10 kunt opstarten in de "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in de toepassing Autoruns bovenaan op 'Opties' en schakel de opties 'Lege locaties verbergen' en 'Windows-vermeldingen verbergen' uit. Klik na deze procedure op het pictogram 'Vernieuwen'.

Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

U moet het volledige pad en de naam ervan noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".

Nadat u de malware hebt verwijderd via de toepassing Autoruns (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.

Start uw computer opnieuw op in de normale modus. Door deze stappen te volgen, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan malware achteraf te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met StreamSpy-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Het opslagapparaat formatteren is niet altijd nodig. Gebruikers wordt aangeraden een betrouwbaar antivirus- of antimalwareprogramma, zoals Combo Cleaner, te gebruiken om StreamSpy te detecteren en te verwijderen.

Wat zijn de grootste problemen die malware kan veroorzaken?

Met behulp van malware kunnen cybercriminelen bestanden of systemen beschadigen, accounts kapen, identiteitsdiefstal plegen en geld stelen. Ook kunnen ze computers infecteren met extra malware, bestanden versleutelen en andere kwaadaardige acties uitvoeren.

Wat is het doel van StreamSpy?

Met StreamSpy kunnen aanvallers systeeminformatie verzamelen, opdrachten uitvoeren, bestanden stelen of wijzigen en aanvullende malware implementeren.

Hoe is StreamSpy op mijn computer terechtgekomen?

StreamSpy wordt verspreid via een kwaadaardig ZIP-bestand dat de trojan bevat, vermomd als een PDF-achtig uitvoerbaar bestand, samen met echte afleidingsdocumenten om het legitiem te laten lijken. Wanneer het slachtoffer het archief opent en het vermomde bestand uitvoert, infiltreert de malware. Hoewel de exacte lokmethode onduidelijk is, kunnen aanvallers het ZIP-bestand verspreiden via valse websites, misleidende e-mails, kwaadaardige advertenties of soortgelijke kanalen.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan bijna alle bekende malware detecteren en verwijderen. Geavanceerde malware zit echter vaak diep in het systeem verborgen, dus het is essentieel om een volledige systeemscan uit te voeren.