FacebookTwitterLinkedIn

So entfernt man ObliqueRAT von dem kompromittierten Computer

Auch bekannt als: ObliqueRAT Virus
Typ: Trojaner
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am (aktualisiert)

Was ist ObliqueRAT?

Ein Remote Access-(Administration)-Trojaner oder ein RAT ist eine Art von Malware, die es Cyberkriminellen erlaubt, infizierte Maschinen fernzusteuern und zu kontrollieren. In der Regel werden RATs verwendet, um andere Malware zu verbreiten (Computer mit anderer bösartiger Software zu infizieren), Opfer auszuspionieren und sensible Informationen zu sammeln und (oder) DDoS-(Distributed Denial-of-Service)-Angriffe durchzuführen.

ObliqueRAT ist eine RAT, die bereits mehrmals aktualisiert wurde (es gibt mindestens fünf Varianten der ObliqueRAT). Es ist bekannt, dass die Kampagne zur Verbreitung von ObliqueRAT im April 2020 gestartet wurde. Sie visiert Organisationen in Südasien an und ist immer noch in Arbeit.

ObliqueRAT Malware

Untersuchungen zeigen, dass die neueste Version des ObliqueRAT Systeminformationen wie Computernamen, Benutzerkontonamen, Betriebssystemversion sammelt, Verzeichnisse und darin enthaltene Dateien inspizieren kann. Er kann außerdem seine Ausführung auf Computern stoppen, die bestimmte Benutzernamen haben (z. B. von Malware-Forschern verwendet werden) oder wenn er bestimmte Prozesse (z. B. Prozesse, die zu Virtual Machines/VM-Software gehören) entdeckt, die auf betroffenen Computern ausgeführt werden.

Es ist bekannt, dass ObliqueRAT Dateien in den Laufwerken auf der infizierten Maschine aufzählen kann und Dateien mit den Erweiterungen .csv, .doc, .docx, .pdf, .ppt., .pptx., .txt., .xls, .xlsx von den entfernbaren Datenträgern extrahieren kann. Darüber hinaus kann ObliqueRAT auf die Webcam zugreifen und Videos aufnehmen und den Bildschirm erfassen (Screenshots machen).

Es kommt häufig vor, dass Cyberkriminelle solches Material verwenden, um Opfer zu erpressen oder um sensible Informationen (wie Passwörter, Kreditkartendaten, Sozialversicherungsnummern usw.) zu extrahieren. Darüber hinaus verfügt ObliqueRAT über die Funktionalität eines Droppers - sie kann verwendet werden, um Malware oder andere unerwünschte Software auf dem Zielsystem zu installieren. Außerdem ist er in der Lage, eine Datei, die verantwortlich dafür ist, das Fortbestehen zu etablieren, zu droppen und auszuführen.

Daher kann davon ausgegangen werden, dass ObliqueRAT hauptsächlich zum Extrahieren von auf den infizierten Maschinen gespeicherten Dateien, zum Aufzeichnen von Webcam-Eingaben und zum Erfassen des Bildschirms verwendet wird. Es ist jedoch sehr wahrscheinlich, dass ObliqueRAT in Zukunft weitere Funktionen hinzufügt werden.

Zusammenfassung der Bedrohung:
Name ObliqueRAT Virus
Art der Bedrohung Fernzugriff-Trojaner
Erkennungsnamen Avast (Win32:Trojan-gen), BitDefender (Trojan.GenericKD.45754215), ESET-NOD32 (Win32/Agent.ACQR), Kaspersky (UDS:DangerousObject.Multi.Generic), Microsoft (Trojan:Win32/CryptInject!MSR), vollständige Liste (VirusTotal)
Symptome Fernzugriff-Trojaner werden entwickelt, um den Computer des Opfers heimlich zu infiltrieren und ruhig zu bleiben und daher sind auf einer infizierten Maschine keine bestimmten Symptome klar erkennbar.
Verbreitungsmethoden Infizierte E-Mail-Anhänge, bösartige Online-Werbeanzeigen, Social Engineering, Software-"Cracks".
Schaden Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, der Computer des Opfers wurde einem Botnetz hinzugefügt.
Malware-Entfernung (Windows)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Windows herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Es gibt viele RATs, die Cyberkriminelle verwenden, um ihre Opfer auszuspionieren, ihre Dateien zu stehlen, ihre Computer mit anderer Malware zu infizieren und andere Aktionen auszuführen. Einige Beispiele sind Elephant RAT, CinaRAT, Orcus RAT. In den meisten Fällen erleiden Benutzer von Computern, auf denen ein RAT installiert ist, finanzielle Verluste, verlieren den Zugang zu persönlichen Konten, Dateien, werden Opfer von Identitätsdiebstahl, deren Computer werden mit anderer Malware (z.B. Ransomware) infiziert oder sie stoßen auf ernsthafte Probleme.

Daher wird Benutzern, die die Präsenz eines RAT vermuten, dringend geraten, ihn so schnell wie möglich zu entfernen.

Wie hat ObliqueRAT meinen Computer infiltriert?

Untersuchungen zeigen, dass ObliqueRAT über bösartige Microsoft Office-Dokumente verbreitet wird (Screenshots von zwei dieser Dokumente finden Sie unten). Diese Dokumente laden eine BMP-(Bitmap)-Bilddatei herunter, die eine ZIP-Datei enthält, die ObliqueRAT enthält (bösartige Dokumente extrahieren die ZIP-Datei und führen die extrahierte Nutzlast aus - ObliqueRAT).

Es ist bekannt, dass Bilddateien, die von bösartigen Microsoft Office-Dokumenten heruntergeladen wurden, auf kompromittierten Webseiten gehostet werden. Normalerweise versuchen Cyberkriminelle, Benutzer dazu zu verleiten, schädliche Dokumente zu öffnen, indem sie sie über E-Mail versenden.

Ihre E-Mails werden als wichtige, dringende Briefe von seriösen Unternehmen getarnt. Sie können nicht nur Microsoft Office-Dokumente enthalten, sondern auch JavaScript-Dateien, ZIP-, RAR- und andere Archivdateien, PDF-Dokumente, EXE- und andere ausführbare Dateien.

Es ist wichtig zu erwähnen, dass MS Office-Dokumente keine Makrobefehle ausführen, es sei denn, Benutzer erlauben es ihnen (es sei denn, sie aktivieren das Bearbeiten von Inhalten in einem Dokument). Dies gilt jedoch nicht für bösartige Dokumente, die mit MS Office geöffnet wurden, das vor 2010 veröffentlicht wurde: Ältere MS Office-Versionen verfügen nicht über den Modus "Geschützte Ansicht", wodurch verhindert wird, dass bösartige Dokumente Malware automatisch installieren.

Beispiele für andere Kanäle, die Cyberkriminelle verwenden, um Malware zu verbreiten, sind unsichere Quellen zum Herunterladen von Software (wie inoffizielle Seiten, Downloadprogramme Dritter, Peer-to-Peer-Netzwerke), gefälschte Aktualisierungs- und Installationsprogramme und "Cracking"-Werkzeuge.

Wie kann die Installation von Malware vermieden werden?

Installierte Programme müssen durch/mithilfe von Werkzeuge/n oder implementierte/n Funktionen, die von ihren offiziellen Entwicklern bereitgestellt werden, aktualisiert und aktiviert werden. Es ist niemals sicher, inoffizielle Werkzeuge Dritter zum Aktualisieren oder Aktivieren jeglicher Software zu verwenden.

Sehr häufig werden sie mit Malware gebündelt. Ein weiteres Problem bei der Software-Aktivierung mithilfe von inoffiziellen Werkzeugen besteht darin, dass dies nicht legal ist und es ist ebenfalls nicht legal, "gecrackte" (raubkopierte) Software zu verwenden.

Darüber hinaus sollten E-Mail-Anhänge und Webseiten-Links in irrelevanten E-Mails, die von unbekannten, verdächtigen Absendern empfangen werden, nicht geöffnet/ihnen kann nicht vertraut werden. Es kommt häufig vor, dass E-Mails dieser Art als Kanäle zum Übermitteln von Malware verwendet werden.

Programme und Dateien sollten ausschließlich von offiziellen Webseiten und über direkte Links heruntergeladen werden. Andere Quellen, Werkzeuge zum Herunterladen von Dateien oder Programmen können verwendet werden, um bösartige Programme zu verbreiten.

Normalerweise versuchen Cyberkriminelle, Benutzer dazu zu verleiten, schädliche Dateien über unsichere Kanäle herunterzuladen, indem sie ihre Dateien als gewöhnlich tarnen. Eine wichtige Sache ist, das Betriebssystem regelmäßig auf Malware und andere Bedrohungen zu scannen.

Dies sollte mithilfe einer namhaften Anti-Spyware-Software und regelmäßig geschehen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu beseitigen.

Bösartiges Dokument, das ObliqueRAT verbreitet:

Obliquerat Malware bösartiges Dokument, das benutzt wird, um Obliquerat zu verbreiten 1

Ein weiteres Dokument, das ObliqueRAT verbreitet:

Obliquerat Malware bösartiges Dokument, das benutzt wird, um Obliquerat zu verbreiten 2

Umgehende automatische Entfernung von Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Wie entfernt man Malware manuell?

Die manuelle Entfernung einer Bedrohung ist eine komplizierte Aufgabe und es ist gewöhnlich besser, wenn Antivirus- oder Anti-Malware-Programme es automatisch machen. Um diese Malware zu entfernen, empfehlen wir Combo Cleaner zu verwenden. Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel eines verdächtigen Programms, das auf dem Computer eines Benutzers ausgeführt wird:

Bösartiger Prozess, der auf dem Computer des Benutzers läuft Beispiel

Wenn Sie die Liste von Programmen geprüft haben, die auf Ihrem Computer laufen, zum Beipiel mit dem Task-Manager, und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit diesen Schritten fortfahren:

manual malware removal step 1 Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Auto-Start Anwendungen, Register und Dateisystem Standorte.

Screenshot der autoruns Anwendung

manual malware removal step 2Starten Sie Ihren Computer im abgesicherten Modus:

Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.

Abgesicherter Modus mit Netzwerktreibern

Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "F5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Windows 8 Abgesicherter Modus mit Netzwerktreibern

Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:

Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrück halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.

windows 10 Abgesicherter Modus mit Netzwerktreibern

Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:

manual malware removal step 3Extrahieren Sie das Download-Archiv und führen Sie Die Datei Autoruns.exe aus.

autoruns.zip extrahieren und autoruns.exe ausführen

manual malware removal step 4In der Anwendung Autoruns, klicken Sie auf "Optionen" oben und entfernen Sie das Häkchen bei den Optionen "Leere Standorte entfernen" und "Windowseinträge verstecken". Nach diesem Prozess, klicken Sie auf das Symbol "Aktualisieren".

Klicken Sie oben auf 'Optionen' und deaktivieren Sie 'Leere Einträge ausblenden' und 'Windows-Einträge ausblenden' Optionen

manual malware removal step 5Prüfen Sie die Liste der Autoruns Anwendung und finden Sie die Malware Datei, die Sie entfernen möchten.

Sie sollten ihren vollständigen Pfad und Namen aufschreiben. Beachten Sie, dass einige Malware ihre Prozessnamen und legitimen Prozessnamen von Windows versteckt. Jetzt ist es sehr wichtig, dass Sie keine Systemdateien entfernen. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, machen Sie einen Rechtsklick über den Namen und wählen Sie "Löschen".

Suchen Sie die Malware Datei, die Sie entfernen möchten

Nachdem die Malware durch die Autoruns Anwendung entfernt wurde (dies stellt sicher, dass die Malware sich beim nächsten Hochfahren des Systems nicht automatisch ausführt), sollten Sie nach dem Namen der Malware auf Ihrem Computer suchen. Stellen Sie sicher, dass Sie alle versteckten Dateien und Ordner aktivieren bevor Sie fortfahren. Wenn Sie die Datei oder Malware gefunden haben, entfernen Sie diese.

Suche nach einer Malware Datei auf Ihrem Computer

Starten Sie Ihren Computer in normalen Modus. Die Befolgung dieser Schritte sollte beim Entfernen jeglicher Malware von Ihrem Computer helfen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschritten Computerfähigkeiten voraussezt. Es wird empfohlen, die Entfernung von Malware Antivirus- und Anti-Malware-Programmen zu überlassen. Diese Schritte könnten bei fortgeschrittenen Malwareinfektionen nicht funktionieren. Es ist wie immer besser, eine Infektion zu vermeiden, anstatt zu versuchen, Malware danch zu entfernen. Um Ihren Computer sicher zu halten, stellen Sie sicher, dass Sie die neuesten Updates des Betriebssystems installieren und Antivirus-Software benutzen.

Um sicher zu sein, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir einen Scan mit Combo Cleaner.

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
ObliqueRAT Virus QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für ObliqueRAT Virus auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Windows-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Windows herunterladen

Plattform: Windows

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.