Hoe AtlasCross RAT van geïnfecteerde apparaten te verwijderen
TrojanOok bekend als: AtlasCross trojan voor toegang op afstand
Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is AtlasCross?
AtlasCross is een Remote Access Trojan (RAT) waarmee aanvallers in het geheim de computer van een slachtoffer kunnen besturen. Het is bekend dat cybercriminelen zich voornamelijk richten op Chineessprekende gebruikers en valse downloadwebsites voor populaire apps gebruiken om de RAT te verspreiden. AtlasCross is ook ontworpen om detectie te vermijden.
Meer over AtlasCross
Cybercriminelen gebruiken een legitieme tool genaamd Setup Factory om het malware-installatieprogramma er betrouwbaar en veilig uit te laten zien. Ze verbergen AtlasCross achter meerdere lagen van legitiem ogende installatieprogramma's, waardoor het er veilig uitziet terwijl het systeem in het geheim wordt geïnfecteerd. Bedreigingsactoren gebruiken ook anti-analysetechnieken om detectie door beveiligingstools en onderzoekers te voorkomen.
De AtlasCross RAT is de belangrijkste malware die na infectie wordt uitgevoerd. Het maakt verbinding met de server van de aanvaller en neemt de controle over het systeem over. Het verbergt zich in de Windows-map met een willekeurige naam en voert meerdere taken uit, zoals het blokkeren van beveiligingstools en het communiceren met aanvallers.
Het voert ook heimelijk PowerShell binnen zichzelf uit (zonder het standaard PowerShell-programma te gebruiken) en schakelt beveiligingsmaatregelen uit, waardoor aanvallers opdrachten kunnen uitvoeren zonder detectie. De RAT communiceert met zijn besturingsserver via sterke encryptie (ChaCha20).
AtlasCross RAT stelt cybercriminelen in staat om externe sessies te beheren, waardoor ze controle krijgen over geïnfecteerde systemen. Het kan het scherm bekijken en muis- en toetsenbordinvoer besturen. De malware ondersteunt ook procesinjectie, waardoor het kwaadaardige code binnen andere programma's kan uitvoeren.
Het kan ook aanvullende bestanden downloaden en uitvoeren en bevat een modulebeheertools waarmee cybercriminelen verschillende componenten van de malware kunnen laden of bijwerken. Daarnaast biedt het bestandstoegang en shell-opdrachten, waardoor bedreigingsactoren op afstand bestanden kunnen doorbladeren, wijzigen en systeemopdrachten kunnen uitvoeren.
Aanvullende mogelijkheden
AtlasCross verstoort beveiligingsprogramma's door hun netwerkverbindingen te blokkeren. Dit verzwakt hun vermogen om het systeem te beschermen zonder ze direct te sluiten. Het bewaakt ook veelgebruikte beveiligingstools en apps, zoals WeChat en Telegram. De RAT kan een kwaadaardige DLL in WeChat injecteren om de controle over de app over te nemen.
Wanneer het een opdracht ontvangt, plaatst het een DLL-bestand, vindt het het draaiende WeChat-proces en dwingt het de kwaadaardige code in het geheugen te laden. Deze functie wordt waarschijnlijk gebruikt om berichten te openen of sessiegegevens te stelen.
Bovendien kan AtlasCross een verborgen geplande taak in een Windows-systeemmap plaatsen, zodat het automatisch wordt uitgevoerd wanneer de gebruiker zich aanmeldt met hoge bevoegdheden. Het verhult zijn bestandspad om detectie door beveiligingstools te voorkomen. Wanneer het zichzelf moet verwijderen, vertraagt het en past het procesprioriteiten aan zodat het zijn eigen bestanden kan verwijderen zonder te crashen of sporen achter te laten.
| Naam | AtlasCross trojan voor toegang op afstand |
| Type Bedreiging | Trojan voor externe toegang (RAT) |
| Detectienamen | Avast (Win64:MalwareX-gen [Misc]), Combo Cleaner (Gen:Variant.Tedy.877083), ESET-NOD32 (Win64/Agent.AWX Trojan), Kaspersky (UDS:Backdoor.Win64.Agent.gen), Microsoft (Trojan:Win32/Etset!rfn), Volledige Lijst (VirusTotal) |
| Symptomen | Trojans voor externe toegang zijn ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Mogelijke Distributiemethoden | Nepwebsites, kwaadaardige software-installatieprogramma's. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer wordt toegevoegd aan een botnet. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Conclusie
AtlasCross is een geavanceerde en heimelijke RAT die in staat is geïnfecteerde systemen over te nemen, beveiligingsmaatregelen te omzeilen en persistent te blijven. Slachtoffers van deze aanvallen kunnen problemen ondervinden zoals identiteitsdiefstal, accountkaping, aanvullende infecties, financieel verlies, enz. Als een systeem is geïnfecteerd met AtlasCross, moet de RAT onmiddellijk worden verwijderd.
Meer voorbeelden van RAT's zijn CrySome, CrystalX en GHOSTFORM.
Hoe is AtlasCross op mijn computer terechtgekomen?
AtlasCross wordt verspreid via nep-installatieprogramma's die worden gedownload van typosquatting-websites (bijv. www-surfshark[.]com) die legitieme softwaredownloadsites nabootsen. Deze sites bieden tools aan zoals Surfshark, Signal, Telegram, Zoom, Microsoft Teams, VPN-clients, messengers, videovergaderapps, cryptocurrency-trackers en e-commercetoepassingen.
Ze zijn ontworpen om een ZIP-bestand te downloaden dat een meerlaags installatieprogramma bevat dat er legitiem uitziet en is ondertekend met een gestolen certificaat. Eenmaal uitgevoerd installeert het een lokapplicatie (bijv. UltraViewer) naast verborgen malwarecomponenten en laadt vervolgens de RAT in het geheugen via meerdere fasen.
Meer voorbeelden van nepwebsites die worden gebruikt om kwaadaardige installatieprogramma's te verspreiden: app-zoom[.]com, eyy-eyy[.]com, kefubao-pc[.]com, quickq-quickq[.]com, signal-signal[.]com, telegrtam.com[.]cn, trezor-trezor[.]com, ultraviewer-cn[.]com, wwtalk-app[.]com, www-surfshark[.]com en www-teams[.]com.
Hoe voorkomt u de installatie van malware?
Wees voorzichtig met e-mails die onverwacht lijken of van onbekende afzenders komen, vooral als ze links of bijlagen bevatten. Als bestanden of links in dergelijke berichten verdacht lijken, open ze dan niet. Vermijd ook interactie met pop-ups, advertenties of prompts op onbetrouwbare websites en sta geen meldingen toe van dubieuze pagina's.
Download software en bestanden van officiële bronnen of geverifieerde app stores en vermijd gekraakte programma's, illegale software of sleutelgeneratoren. Zorg ervoor dat uw besturingssysteem en toepassingen up-to-date worden gehouden.
Als u denkt dat uw computer al is geïnfecteerd, raden wij aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.
Nepwebsites die kwaadaardige installatieprogramma's met AtlasCross verspreiden (bron: hexastrike.com):
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
DOWNLOAD Combo CleanerDoor het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Snelmenu:
- Wat is AtlasCross?
- STAP 1. Handmatige verwijdering van AtlasCross malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatige malwareverwijdering is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij aan Combo Cleaner Antivirus voor Windows te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:
Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met behulp van Taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch startende toepassingen, Register- en bestandssysteemlocaties:
Herstart uw computer in de Veilige modus:
Windows XP- en Windows 7-gebruikers: Start uw computer op in de Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstartproces van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 start in "Veilige modus met netwerkmogelijkheden":
Windows 8-gebruikers: Start Windows 8 in Veilige modus met netwerkmogelijkheden - Ga naar het Windows 8-startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw pc zal opnieuw opstarten naar het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 start in "Veilige modus met netwerkmogelijkheden":
Windows 10-gebruikers: Klik op het Windows-logo en selecteer het aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de "F5"-toets op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 start in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-toepassing bovenaan op "Options" en schakel de opties "Hide Empty Locations" en "Hide Windows Entries" uit. Klik na deze procedure op het pictogram "Refresh".
Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.
U moet het volledige pad en de naam noteren. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het zeer belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Delete".
Nadat u de malware via de Autoruns-toepassing hebt verwijderd (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende systeemstart), moet u op uw computer zoeken naar de malwarenaam. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, zorg er dan voor dat u deze verwijdert.
Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Houd er rekening mee dat handmatige verwijdering van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat malwareverwijdering dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het het beste om infectie te voorkomen in plaats van later te proberen malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste besturingssysteemupdates en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij aan deze te scannen met Combo Cleaner Antivirus voor Windows.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met AtlasCross malware, moet ik mijn opslagapparaat formatteren om het kwijt te raken?
Deze stap kan AtlasCross verwijderen, maar het zal ook alle bestanden en gegevens op het apparaat wissen. Daarom wordt vaak aanbevolen om het eerst te proberen te verwijderen met een betrouwbare beveiligingsoplossing, zoals Combo Cleaner, voordat u overgaat tot herformatteren.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan een breed scala aan schadelijke acties uitvoeren, zoals het verwijderen of beschadigen van bestanden, het installeren van aanvullende kwaadaardige payloads en het verzamelen van gevoelige informatie. Dit kan leiden tot ernstige gevolgen zoals identiteitsdiefstal, financieel verlies, ongeautoriseerde toegang tot accounts en onherstelbaar gegevensverlies.
Wat is het doel van AtlasCross?
Het doel van AtlasCross is om te fungeren als een trojan voor externe toegang die aanvallers controle geeft over geïnfecteerde computers. Het wordt voornamelijk gebruikt om gebruikers te bespioneren, gegevens te stelen, opdrachten op afstand uit te voeren en langdurige toegang te behouden.
Hoe is AtlasCross op mijn computer terechtgekomen?
AtlasCross wordt verspreid via kwaadaardige installatieprogramma's op nepwebsites die vertrouwde software nabootsen zoals Surfshark, Signal, Telegram, Zoom, Microsoft Teams, VPN's en andere populaire apps. Deze sites leveren een ZIP-bestand met een ogenschijnlijk legitiem installatieprogramma dat is ondertekend met een gestolen certificaat. Bij uitvoering installeert het een lokapplicatie (zoals UltraViewer) terwijl het heimelijk de RAT laadt.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Geavanceerde bedreigingen verbergen zich echter vaak diep in het systeem, dus het is belangrijk om een volledige systeemscan uit te voeren om ervoor te zorgen dat niets wordt gemist.
Delen:
Facebook
X.com
LinkedIn
Link kopiëren
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie