FacebookTwitterLinkedIn

Ave Maria trojan

Ook bekend als: Ave Maria malware
Type: Trojan
Schadeniveau: Ernstig

Tomas Meskauskas Geschreven door op (bijgewerkt)

Ave Maria virusverwijderingsgids

Wat is Ave Maria?

Ave Maria is een gevaarlijke trojan, die ontworpen werd om allerlei gegevens te stelen en om "kettinginfecties" (ter verspreiding van andere infecties) te veroorzaken. Het wordt meestal verspreid met behulp van verschillende email-spamcampagnes. Criminelen verzenden duizenden misleidende e-mails die besmettelijke bijlagen bevatten, meestal Microsoft Office-bestanden (vaak Excel). De e-mails bevatten berichten waarin de gebruikers aangemoedigd worden om het bijgevoegde document te openen, maar dit resulteert in de infiltratie van Ave Maria.

Ave Maria malware

Een van de e-mails die we onderzochten, was een orderbevestiging met een bijgevoegde "factuur". Het bericht vermeldt in wezen dat er informatie over de bestelling in het bijgevoegde document verstrekt wordt en moedigt zo de gebruikers aan om deze te bekijken. Dit resulteert echter in een malware-infectie. Deze e-mail is vermoedelijk verzonden door een medewerker van het bedrijf Mignon Sista International, maar dit is een misleidende tactiek - cybercriminelen beweren vaak werknemers van populaire bedrijven of overheidsinstanties te zijn om de indruk van legitimiteit te geven, omdat de gebruikers veel waarschijnlijker de bijlagen zullen openen als die worden verstuurt door bekende namen. De ontwikkelaars van dit virus richten zich vaak op kleine bedrijven, in plaats van op de reguliere gebruikers. Daarom zijn de meeste ontvangers werknemers/eigenaren van verschillende bedrijven. Dit betekent echter niet dat de gewone gebruikers veilig zijn. Het Ave Maria-virus is ontworpen om informatie bij te houden en de toetsaanslagen van slachtoffers vast te leggen. Deze infecties worden gebruikt om persoonlijke informatie te verzamelen, zoals logins/wachtwoorden (van e-mails, sociale netwerken, enz.), creditcardinformatie, enzovoort. Het stelen van dergelijke informatie is zeer riskant. Cybercriminelen willen zoveel mogelijk inkomsten verkrijgen. Daarom zullen ze meer dan waarschijnlijk de gestolen accounts misbruiken. Als ze toegang krijgen tot de bankrekeningen, dan kunnen ze alle fondsen stelen door deze over te dragen naar hun eigen rekeningen of gebruiken voor online aankopen. E-mails, sociale netwerken en andere accounts kunnen gebruikt worden om de identiteiten te stelen en verschillende kwaadaardige acties uit te voeren (bijvoorbeeld malware naar de contactpersonen van de slachtoffers sturen, de contactpersonen vragen om geld te lenen, enzovoort). Bovendien injecteert Ave Maria het systeem met extra malware. Ten tijde van het onderzoek werd Ave Maria gebruikt om een ​​andere data-stelende trojan te verspreiden, genaamd LokiBot. De lijst met functies van Ave Maria omvat echter het downloaden en uitvoeren van bestanden, wat betekent dat de situatie uiteindelijk kan (en waarschijnlijk zal) veranderen en dat de oplichters Ave Maria zullen gebruiken om andere malware te verspreiden. Meestal worden trojans gebruikt om ransomware en cryptominers te verspreiden. Het komt ook voor dat trojans virussen verspreiden met een vergelijkbare functionaliteit (zoals in dit geval zijn zowel Ave Maria als LokiBot ontworpen om de gegevens te stelen). Trojans verspreiden meestal infecties die zich op verschillende manieren gedragen. Het is ook vermeldenswaard dat, afhankelijk van de variant van Ave Maria (uitvoerbaar), de procesnaam in Windows Taakbeheer anders is. Het is echter bekend dat Ave Maria zich meestal verbergt achter namen van verschillende echte processen (bijvoorbeeld, "Firefox", "svchost.exe", enz.) om de aanwezigheid ervan te verbergen. Wat interessant is, is dat de pictogrammen van Ave Maria-processen niet echt zijn (het procespictogram "Firefox" is bijvoorbeeld een wazig vierkant in plaats van het originele pictogram dat een vos is die rond de wereld is gewikkeld). Dit maakt het mogelijk om de valse processen te onderscheiden. Bovendien is deze malware ontworpen om de instellingen van Windows Defender te wijzigen en te voorkomen dat het de volledige schijf scant waarop Windows geïnstalleerd  is (meestal de C: \ schijf). Dat komt omdat de bestanden van Ave Maria verborgen zijn in de Windows-map (er zijn een paar duplicaten, één ervan is verborgen in de map "%APPDATA%") en voegt een Windows-registervermelding toe. U kunt de volledige lijst met de functies van Ave Maria hieronder zien. Kortom, het hebben van dit virus op uw computer kan leiden tot verschillende privacyschendingen, financiële verliezen en risicovolle computerinfecties. Zoals hierboven vermeld, is het proces van Ave Maria te vinden in Windows Taakbeheer onder een willekeurige naam. Als u dubieuze processen aantreft en de aanwezigheid van Ave Maria vermoedt, scan dan onmiddellijk uw computer met een gerenommeerde anti-virus/anti-spyware suite en verwijder alle gedetecteerde bedreigingen.

Bedreigingsoverzicht:
Naam Ave Maria malware
Bedreigingstype Trojan, wachtwoord-stelend virus, online bankieren-malware, spyware
Detectie Namen (chthonic.exe) Avast (Win32:PWSX-gen [Trj]), BitDefender (Trojan.Agent.DSVM), ESET-NOD32 (een variant van Win32/Kryptik.GRNX), Kaspersky (Trojan-Spy.Win32.AveMaria.hl), volledige lijst (VirusTotal)
Gerelateerde IP Adressen 91.192.100.61:2580 (Command & Control [C&C] server), 89.46.223.202 (Ave Maria download URL)
Gerelateerde Domeinen maxibrainz[.]warzonedns[.]com:2580 (Command & Control [C&C] server), secured[.]icbegypt[.]com (Ave Maria download URL)
Kwaadaardige Proces Namen apo.exe, Firefox, scvhost.exe - het vermomt zich als een echt Windows-proces svchost.exe (merk op dat het tweede en derde teken verwisseld wordt). De procesnaam is afhankelijk van de variant van Ave Maria (uitvoerbaar).
Payload LokiBot trojan.
Symptomen Trojans zijn ontworpen om heimelijk in de computer van het slachtoffer te infiltreren en te wachten, dus er zijn geen specifieke symptomen duidelijk zichtbaar op een geïnfecteerde machine.
Verspreidingsmethoden Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, softwarecracks.
Schade Gestolen bankgegevens en wachtwoorden, identiteitsdiefstal, de computer van het slachtoffer wordt toegevoegd aan een botnet.
Verwijdering

Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken.
▼ Combo Cleaner voor Windows Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.

Ave Maria deelt veel overeenkomsten met een aantal andere trojan-virussen, zoals TrickBot, Adwind, FormBook, and Qakbot. Hoewel deze virussen ontwikkeld werden door verschillende cybercriminelen, hebben ze allemaal hetzelfde doel: het stelen van persoonlijke gegevens. Bovendien worden deze virussen, net als bij Ave Maria, vaak verspreid via email-spamcampagnes. Ze vormen een belangrijke bedreiging voor de privacy en de financiële veiligheid van de gebruikers. Daarom is het verwijderen van malware zoals Ave Maria van groot belang.

Hoe infiltreerde Ave Maria in mijn computer?

Zoals hierboven vermeld, wordt Ave Maria verspreid via spamcampagnes die kwaadaardige MS Office-documenten bevatten. In de meeste gevallen is het bijlageformaat Excel, dat misbruik maakt van een MS Office-kwetsbaarheid (codenaam CVE-2017-11882) om Ave Maria in het systeem te injecteren. Dit is een veelgebruikte methode om trojans zoals Ave Maria te verspreiden, maar de bijlage is niet altijd een MS Office-document - het bestandstype kan verschillen (bijv. PDF, JavaScript, .exe, archief of andere). In elk geval is er een gebruikersinteractie nodig om de malware in het systeem te laten infiltreren. De gebruiker moet de bijlage handmatig uitvoeren/openen, anders kan het virus het systeem niet binnenkomen.

Hoe de installatie van malware te vermijden?

Om deze situatie te voorkomen, moet u zeer voorzichtig zijn wanneer u op het internet surft. Denk twee keer na voordat u e-mailbijlagen opent. Als de afzender verdacht/onherkenbaar lijkt of de bijgevoegde link/bestand niet relevant is, open dan niets. Houd er rekening mee dat criminelen vaak proberen om de nieuwsgierigheid van de ontvanger te misbruiken door frauduleuze berichten te verzenden, zoals 'u heeft een pakket ontvangen', 'u heeft een loterij gewonnen', enzovoort. Helaas trappen veel gebruikers in deze oplichting, in de hoop dat ze iets gratis ontvangen. Daarom moet u dergelijke berichten nooit vertrouwen. Zorg bovendien dat er een gerenommeerde anti-virus/anti-spyware software geïnstalleerd en actief is, aangezien deze programma's vaak malware detecteren en verwijderen voordat deze schade kunnen aanrichten. Beperkte kennis en onzorgvuldig gedrag zijn de belangrijkste redenen voor computerinfecties. De sleutel tot veiligheid is voorzichtigheid. Als u denkt dat uw computer al geïnfecteerd is, dan raden we u aan een scan uit te voeren met Combo Cleaner om de geïnfiltreerde malware automatisch te verwijderen.

Lijst met functies van de Ave Maria trojan:

  • Camera-exfiltratie
  • Opruimen
  • Code-injectie
  • Downloaden en uitvoeren
  • Bestandsbeheer: creatie, download, exfiltratie, verwijdering
  • Info-stealer ondersteuning:
    Firefox
    Foxmail
    Google Chrome
    Internet Explorer
    Outlook
    Thunderbird
  • Offline Keylogger
  • Volharding
  • Privilege-escalatie, ondersteuning van Windows 7 tot Windows 10
  • Procesbeheer: opsomming, beëindiging
  • RDP met rdpwrap

Voorbeelden van frauduleuze processen ("apo.exe" en "Firefox") van Ave Maria in Windows Taakbeheer:

Ave Maria trojan in Windows Taakbeheer - Firefox (vb 1) Ave Maria trojan in Windows Taakbeheer - apo.exe (vb 2)

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
 ▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Hoe malware handmatig verwijderen?

Handmatig verwijderen van malware is een gecompliceerde taak, meestal is het beter om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, moet u eerst de naam kennen van de malware die u probeert te verwijderen. Hier een voorbeeld van een verdacht programma dat op de computer van de gebruiker wordt uitgevoerd:

kwaadaardig proces uitgevoerd op de gebruikte computer vb

Als u de lijst met programma's op uw computer hebt gecontroleerd, bijvoorbeeld met behulp van taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, gaat u verder met de volgende stappen:

manual malware removal step 1 Download het programma Autoruns. Dit programma toont toepassingen die automatisch starten, register- en bestandssysteemlocaties:

screenshot van de autorun applicatie

manual malware removal step 2Herstart uw computer in Veilige Modus:

Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.

Veilige Modus met Netwerk

Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":

Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende 'Algemene PC-instellingen' scherm selecteer je Geavanùceerde Opstart. Klik op de 'Nu herstarten'-knop. Je computer zal nu herstarten in het 'Geavanceerde Opstartopties menu'. Klik op de 'Probleemoplosser'-knop, klik dan op de 'Geavanceerde Opties'-knop. In het geavanceeerde opties scherm klik op 'Opstartinstellingen'. Klik op de 'Herstarten'-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk F5 om in Veilige Modus met netwerk te starten.

Windows 8 veilige Modus met netwerk

Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het Power-icoon. In het geopende menu klik je op herstarten terwijl je de Shift-knop ingedrukt houdt. In het 'Kies een optie'-scherm klik je op 'Problemen oplossen' en selecteer je de 'Geavanceerde opties'. In het 'Geavanceerde-opties menu selecteer je opstartinstellingen en klik je op de 'Herstarten'-knop. In het volgende scherm moet je op de F5-knop drukken. Zo zal je besturingssysteem in veilige modus met netwerk herstart worden.

windows 10 veilige modus met netwerk

Video die toont hoe Windows 10 te starten in "Veilige Modus met Netwerk":

 

manual malware removal step 3Pak het archiefbestand uit en voer het bestand Autoruns.exe uit.

pak autoruns.zip uit en voer autoruns.exe uit

manual malware removal step 4Klik in de Autoruns-applicatie bovenaan op "Opties" en verwijder de vinkjes bij "Hide Empty Locations" en "Hide Windows Entries". Na deze procedure klikt u op het pictogram "Refresh".

Klik bovenaan op 'Options' en vink 'Hide Empty Locations' en 'Hide Windows Entries' uit

manual malware removal step 5Controleer de lijst van de Autoruns-applicatie en zoek het malwarebestand uit dat u wilt verwijderen.

Schrijf het volledige pad en de naam op. Merk op dat sommige malware de procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u 'Delete'.

lokaliseer de te verwijderen malware-bestanden

Nadat u de malware hebt verwijderd via de Autoruns-applicatie (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende opstart van het systeem), moet u de malwarenaam op uw computer zoeken. Zorg dat u verborgen mappen en bestanden inschakelt voordat u doorgaat. Als u het bestand van de malware vindt, verwijder het dan.

zoeken naar malware-bestanden op uw computer

Start uw computer opnieuw op in normale modus. Door deze stappen te volgen, kunt u eventuele malware van uw computer verwijderen. Merk op dat voor het handmatig verwijderen van malware een grondige computerkennis noodzakelijk is. Het wordt daarom aanbevolen om de verwijdering van malware over te laten aan antivirus- en antimalwareprogramma's. Deze stappen werken mogelijk niet met geavanceerde malware-infecties. Zoals altijd is het beter om besmettingen te voorkomen dan achteraf malware te moeten verwijderen. Om ervoor te zorgen dat uw computer veilig blijft, moet u steeds de meest recente updates van het besturingssysteem installeren en antivirussoftware gebruiken.

Om zeker te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner.

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

Verwijderingsinstructies in andere talen
Nieuwe virus verwijderingsrichtlijnen
Top virus verwijderingsrichtlijnen
QR Code
Ave Maria malware QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van Ave Maria malware op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Windows malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner

Platform: Windows

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.