Hoe verwijdert u de NANOREMOTE backdoor van het besturingssysteem

Wat voor soort malware is NANOREMOTE?

NANOREMOTE is een backdoor - een type malware dat een verborgen kanaal opent op een geïnfecteerde computer, zodat aanvallers op elk moment opdrachten kunnen geven en aanvullende payloads kunnen afleveren. Volgens onderzoek van Elastic Security Labs maakt NANOREMOTE deel uit van de REF7707-dreigingscampagne en is het nauw verwant aan een ander implantaat uit dezelfde familie genaamd FINALDRAFT.

Zodra NANOREMOTE actief is, kunnen operators shell-opdrachten uitvoeren, bestanden beheren, programma's in het geheugen laden en gegevens naar en van de geïnfecteerde machine verplaatsen. Het routeert zijn communicatie via de eigen diensten van Google, waardoor het verkeer opgaat in legitieme activiteit.

Meer over NANOREMOTE

NANOREMOTE wordt doorgaans ingezet door een loadercomponent genaamd WMLOADER. WMLOADER vermomt zich als een legitiem Bitdefender-bestand met de naam BDReinit.exe, compleet met een vervalste digitale handtekening. Bij uitvoering decodeert het de NANOREMOTE-payload uit een versleuteld bestand met de naam wmsetup.log voordat het via ingebedde shellcode in het geheugen wordt geladen.

Voor command-and-control communiceert NANOREMOTE via de Google Drive API. Het authenticeert met OAuth 2.0-tokens die zijn ingebed in de configuratie en stuurt regelmatige beacon-verzoeken naar de servers van Google. Omdat deze verbindingen naar een bekend en vertrouwd platform gaan, zijn ze moeilijker door beveiligingstools als verdacht te markeren.

Al het verkeer wordt gecomprimeerd met Zlib en vervolgens versleuteld met AES-CBC voordat het wordt verzonden. Elk verzoek volgt een gestructureerd JSON-formaat dat een machine-identificatie, een commando-ID en een datapayload bevat.

Mogelijkheden van NANOREMOTE

Elastic Security Labs identificeerde 22 commandohandlers die zijn ingebouwd in NANOREMOTE, waarmee operators brede afstandsbediening over een geïnfecteerd systeem krijgen. Deze commando's omvatten bestandsbeheer, code-uitvoering, gegevensoverdracht en systeemverkenning.

Bestandsgerelateerde commando's stellen operators in staat om mappen te bekijken, door het bestandssysteem te navigeren en bestanden aan te maken, te verwijderen of te verplaatsen. Operators kunnen ook aangesloten opslagschijven inventariseren en bestandsuploads en -downloads in de wachtrij plaatsen, met ondersteuning voor het pauzeren en hervatten van overdrachten. Elke overdracht wordt geverifieerd met een MD5-checksum.

Aan de uitvoeringskant bevat NANOREMOTE een aangepaste PE-loader die programma's vanaf schijf kan uitvoeren of binaire bestanden in het geheugen kan uitvoeren vanuit Base64-gecodeerde payloads, waarbij de standaard Windows-loader volledig wordt omzeild. Shell-commando's kunnen ook worden uitgegeven en uitgevoerd via opgestarte processen.

Bij het opstarten verzamelt de malware basisinformatie over het systeem - de IP-adressen van de machine, hostnaam, gebruikersnaam, besturingssysteemversie en of de huidige gebruiker beheerdersrechten heeft.

Persistentie en verdedigingsontwijking

NANOREMOTE maakt gebruik van de Detours-bibliotheek van Microsoft om belangrijke systeemfuncties zoals GetStdHandle en ExitProcess te onderscheppen. Dit voorkomt dat een enkele falende thread het gehele proces laat crashen, wat de malware helpt actief te blijven, zelfs wanneer individuele componenten fouten tegenkomen.

De ingebouwde aangepaste PE-loader omzeilt de hooks die endpoint-beveiligingsproducten doorgaans op de standaard Windows-loader plaatsen. Dit maakt het moeilijker voor beveiligingssoftware om nieuw geladen uitvoerbare bestanden tijdens runtime te detecteren.

NANOREMOTE installeert ook een procesbreed crashhandler die Windows-minidumpbestanden genereert. Elastic Security Labs merkte op dat de malware een lokale map met de naam Log aanmaakt en gedetailleerde activiteit schrijft naar een bestand genaamd pe_exe_run.log, wat suggereert dat het is ontworpen met probleemoplossing aan de operatorkant in gedachten.

Conclusie

NANOREMOTE geeft aanvallers aanhoudende, verborgen toegang tot een geïnfecteerde computer en ondersteunt een breed scala aan externe bewerkingen - van het uitvoeren van commando's en het laden van aanvullende malware tot het exfiltreren van bestanden via Google Drive.

De verbinding met de REF7707-campagne suggereert dat het deel uitmaakt van een gerichte, zorgvuldig gecoördineerde aanval. De malware moet onmiddellijk van elk getroffen systeem worden verwijderd.

Meer voorbeelden van backdoors zijn A0Backdoor, YiBackdoor en Anubis.

Hoe is NANOREMOTE mijn computer binnengedrongen?

Volgens Elastic Security Labs wordt NANOREMOTE geleverd door een loader genaamd WMLOADER. WMLOADER doet zich voor als een legitiem Bitdefender-component - BDReinit.exe - maar draagt een ongeldige digitale handtekening. Bij uitvoering decodeert het de NANOREMOTE-payload uit een bestand met de naam wmsetup.log en laadt het in het geheugen.

Elastic Security Labs koppelde NANOREMOTE aan de REF7707-campagne, waarbij vroege samples activiteit toonden die afkomstig was uit de Filipijnen in oktober 2025. De malware deelt een versleutelingssleutel en verschillende codepatronen met het FINALDRAFT-implantaat, wat aangeeft dat beide uit dezelfde ontwikkelingsinspanning komen en waarschijnlijk van dezelfde dreigingsactor.

In bredere zin worden trojans en backdoors verspreid via veel kanalen: phishing-e-mails met kwaadaardige bijlagen, valse softwaredownloadsites, malvertising, gecompromitteerde websites, illegale software en geïnfecteerde verwijderbare media.

Hoe voorkomt u de installatie van malware?

Wees voorzichtig met ongevraagde e-mails, vooral die met bijlagen of links - zelfs als de afzender bekend lijkt. Download software alleen van officiële bronnen en vermijd cracks, sleutelgeneratoren of illegale inhoud. Houd het besturingssysteem en alle geïnstalleerde programma's up-to-date, aangezien updates regelmatig de beveiligingslekken dichten die aanvallers misbruiken.

Vermijd het klikken op pop-upadvertenties of browsermeldingen van onbekende sites en gebruik een betrouwbaar beveiligingsprogramma met realtime-bescherming ingeschakeld. Voer regelmatig volledige systeemscans uit. Als u denkt dat uw computer al geïnfecteerd is, raden wij aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is NANOREMOTE?
• STAP 1. Handmatige verwijdering van NANOREMOTE malware.
• STAP 2. Controleer of uw computer schoon is.

Hoe verwijdert u malware handmatig?

Handmatige malwareverwijdering is een gecompliceerde taak - meestal is het het beste om antivirus- of anti-malwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met Taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:

Download een programma genaamd Autoruns. Dit programma toont automatisch startende toepassingen, Register- en bestandssysteemlocaties:

Start uw computer opnieuw op in Veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstartproces van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet, en selecteer vervolgens Veilige modus met netwerk uit de lijst.

Video die laat zien hoe u Windows 7 start in "Veilige modus met netwerk":

Gebruikers van Windows 8: Start Windows 8 in Veilige modus met netwerk - Ga naar het Startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.

Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het "menu Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".

Klik op de knop "Opnieuw opstarten". Uw pc zal opnieuw opstarten naar het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerk.

Video die laat zien hoe u Windows 8 start in "Veilige modus met netwerk":

Gebruikers van Windows 10: Klik op het Windows-logo en selecteer het Aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. Klik in het venster "Kies een optie" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".

Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de "F5"-toets op uw toetsenbord klikken. Dit zal uw besturingssysteem opnieuw opstarten in veilige modus met netwerk.

Video die laat zien hoe u Windows 10 start in "Veilige modus met netwerk":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in de Autoruns-toepassing bovenaan op "Options" en schakel de opties "Hide Empty Locations" en "Hide Windows Entries" uit. Klik na deze procedure op het pictogram "Refresh".

Controleer de lijst die door de Autoruns-toepassing wordt geleverd en zoek het malwarebestand dat u wilt verwijderen.

U moet het volledige pad en de naam noteren. Let op dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het zeer belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Delete".

Na het verwijderen van de malware via de Autoruns-toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende systeemstart), moet u op uw computer zoeken naar de malwarenaam. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, zorg er dan voor dat u deze verwijdert.

Start uw computer opnieuw op in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Houd er rekening mee dat handmatige dreigingsverwijdering geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het het beste om infectie te voorkomen dan later te proberen malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste besturingssysteemupdates en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met NANOREMOTE malware, moet ik mijn opslagapparaat formatteren om ervan af te komen?

Formatteren verwijdert NANOREMOTE maar wist ook elk bestand op de schijf. Een vertrouwde beveiligingstool zoals Combo Cleaner moet eerst worden geprobeerd, aangezien deze de infectie kan verwijderen zonder verlies van persoonlijke gegevens.

Wat zijn de grootste problemen die NANOREMOTE malware kan veroorzaken?

NANOREMOTE geeft aanvallers volledige afstandsbediening over het geïnfecteerde systeem. Dit kan leiden tot gegevensdiefstal, uitvoering van aanvullende malware, volledig verlies van controle over de computer en - op den duur - identiteitsdiefstal en financiële fraude.

Wat is het doel van NANOREMOTE malware?

Het doel van NANOREMOTE is om aanvallers aanhoudende, verborgen toegang te geven tot een geïnfecteerde machine. Operators kunnen commando's uitvoeren, bestanden beheren, aanvullende programma's in het geheugen laden en gegevens exfiltreren via Google Drive, terwijl ze uit het zicht blijven.

Hoe is NANOREMOTE malware mijn computer binnengedrongen?

NANOREMOTE wordt geleverd door een loader genaamd WMLOADER, die zich voordoet als een legitiem Bitdefender-bestand. Het is gekoppeld aan de REF7707-campagne. Over het algemeen bereiken backdoors slachtoffers ook via phishing-e-mails, valse softwaredownloads, illegale inhoud en gecompromitteerde websites.

Beschermt Combo Cleaner mij tegen malware?

Ja. Combo Cleaner kan de meeste bekende malware detecteren en verwijderen, waaronder backdoors en trojans. Omdat dreigingen zoals NANOREMOTE zijn gebouwd om zich diep in het systeem te verbergen, is het uitvoeren van een volledige scan belangrijk om ervoor te zorgen dat niets wordt gemist.