Entfernungsanleitung für ChromeLoader Malware
Verfasst von Tomas Meskauskas am (aktualisiert)
Was ist ChromeLoader?
ChromeLoader wurde ursprünglich von x3ph analysiert und später von den Forschern von G-Data als Choziosi loader benannt. Diese Malware wurde entwickelt, um (eine) bösartige Erweiterung(en) in Browsern zu installieren. Aktuell wurden zwei bestimmte Varianten von ChromeLoader erkannt - eine zielt auf Windows Betriebssysteme ab und die andere auf Mac Betriebssysteme.
Es sollte beachtet werden, dass diese bösartige Software aktiv über Twitter in Form von QR-Codes verbreitet wurde, die raubkopierte Software (hauptsächlich Videospiele) und Medien (Filme/TV) fördert.
Übersicht über die ChromeLoader Malware
Wie in der Einleitung erwähnt, soll ChromeLoader bösartige Erweiterungen in Browsern installieren. Die beobachtete Infektionskette begann mit Tweets (Twitter Nachrichten), die raubkopierte Inhalte durch QR-Codes bewarben (im Meme Format), die Opfer dazu verleiteten, eine ISO-Datei herunterzuladen.
G-Data Forscher führten eine Tiefenanalyse dieses Loaders und der bösartigen Erweiterung durch. Ihre Forschung enthüllte, dass die ISO-Datei aus zwei Komponenten besteht - „_meta.txt“ und „downloader.exe“, wobei erstere ein verschlüsseltes PowerShell Skript enthält, während die letzere benutzt wird, um es zu verschlüsseln.
Das PowerShell erzeugt eine Aufgabe namens „ChromeTask“ (kann variieren), die planmäßig alle zehn Minuten ausgeführt wird. Das PowerShell Skript lädt auch die bösartige Google Chrome Browsererweiterung „archive.zip“ herunter. Aufgrund der Aufgabenwiederholung, haben einige Opfer dieser Malware jedoch berichtet, dass ihre Chrome Browser sich kontinuierlich selbst schließen (welches ein Versehen ist, die eine Erkennung von ChromeLoader schneller macht).
Es ist beachtenswert, dass „downloader.exe“ Benutzern eine Warnung anzeigen kann, die besagt, dass das Betriebssystem mit der Software nicht kompatibel ist.
Die Analyse von G-Data konzentrierte sich auf die bösartige Browsererweiterung, da sie zuvor nicht gründlich erforscht worden war. Die Chrome Erweiterung ist stark verschleiert - welches die Analyse kompliziert macht.
Diese Software nutzt Techniken zur Sicherung der Persistenz; insbesondere verweigert sie den Zugriff auf die Liste der Google Chrome Erweiterungen („chrome://extensions/“), indem sie die Benutzer zu den allgemeinen Einstellungen (“chrome://settings“) weiterleitet - und so verhindert, dass sie die bösartige Erweiterung entfernen.
Diese Funktionen der Chrome Erweiterung stellten sich als Adware und Browserentführer Aktiviät heraus. Mit anderen Worten, zielt diese Malware auf die Anzeige betrügerischer/bösartiger Werbung ab und modifziert Browsereinstellungen, um Weiterleitungen auf gefälschte Suchmaschinen zu verursachen (und potenziell mit legitimen, wie Google, Yahoo, Bing, etc.).
Die Verwendung von PowerShell und erweiterter Verschleierung ist ungewöhnlich bei Adware und Browserentführern, aber sie ist Standard für Informationsstehlende Programme, Spyware und andere Malware. Es ist jedoch nicht ungewöhnlich, dass ChromeLoader sich noch in der Entwicklung befindet und mit zusätzlichen, schädlichen Funktionen, aktualsiert werden wird. Trotzdem stellt ChromeLoader in ihrer jetzigen Form immer noch eine deutliche Bedrohung dar.
Die von Colin Cowie durchgeführte Forschung bestimmte, dass die Mac Version von ChromeLoader ähnlich wie die Windows Variante funktioniert (d.h. sie zeigt Werbung, verursacht Weiterleitungen). Bemerkenswert bei dieser Version ist, dass sie bösartige Erweiterungen sowohl auf Google Chrome, als auch Safari Browsern installieren kann.
Falls Sie vermuten, dass Ihr Gerät mit ChromeLoader Malware infiziert ist, raten wir dringend zur Benutzung eines Antivirus, um sie unverzüglich zu entfernen.
| Name | ChromeLoader Virus |
| Art der Bedrohung | Unerwünschte Werbung, Pop-up-Werbung, unerwünschte Weiterleitungen |
| Erkennungsnamen (ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.98155), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:MSIL/Tnega!mclg), vollständige Liste von Erkennungen (VirusTotal) |
| Erkennungsnamen (EXE innerhalb von ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.38585118), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan:Win32/Tnega!ml), vollständige Liste von Erkennungen (VirusTotal) |
| Erkennungsnamen (Mac Variante) | Avast (MacOS:Agent-TJ [Trj]), Combo Cleaner (Adware.MAC.Chropex.B), GData (Adware.MAC.Chropex.B), Kaspersky (Not-a-virus:HEUR:AdWare.OSX.Agent.ag), vollständige Liste von Erkennungen (VirusTotal) |
| Symptome | Anzeigen zu sehen, die nicht von den Seiten stammen, auf denen Sie surfen. Störende Pop-up-Werbung. Verringerte Internetsurfgeschwindigkeit. Manipulierte Internetbrowsereinstellungen. Benutzer werden gezwungen die Webseite der Entführer zu besuchen und das Internet mit ihren Suchmaschinen zu durchsuchen. |
| Verbreitungsmethoden | Betrügerische Pop-up-Werbung, falsche Behauptungen innerhalb der besuchten Webseiten, potenziell unerwünschte Anwendungen (Adware) |
| Schaden | Verringerte Computerleistung, Browserverfolgung - Datenschutzprobleme, mögliche zusätzliche Malware-Infektionen. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Adware und Browserentführer
ChromeLoader hat werbeunterstützte und Browserentführer Softwarefunktionen. Typischerweise verwenden Programme, die zu den Adware-/Browserentführer-Kategorien gehören, keine so ausgefeilten Techniken wie ChromeLoader (was bedeuten könnte, dass diese Malware zusätzliche bösartige Funktionen wie Datendiebstahl, Spionage usw. haben soll).
To Go Web, Keep Secure Search, Tap togo sind ein paar Beispiele für reguläre Browserentführer, die wir analysiert haben und fake Google Translate extension, Files Download Now, Down Assist - für Adware.
Beachten Sie, dass egal wie ein bösartiges Programm agiert, seine Gegenwart auf einem System die Geräte-/Benutzersicherheit gefährdet. Daher müssen alle Bedrohung sofort nach der Erkennung entfernt werden.
Wie hat ChromeLoader meinen Computer infiltriert?
Wie bereits erwähnt, wurde ChromeLoader vor allem über Tweets verbreitet, in denen illegale Inhalte (z. B. raubkopierte Videospiele, Bearbeitungssoftware, Filme, Fernsehserien usw.) über QR-Codes beworben wurden, die Benutzer zum Herunterladen einer infektiösen ISO-Datei verleiten sollten.
Es ist jedoch möglich, dass ChromeLoader Malware auf anderen Plattformen und auch potenziell mit verschiedenen Tarnungen verbreitet wird.
Malware wird häufig durch verschiedene Techniken verbreitet. Phishing und soziales Engineering werden bei der Verbreitung bösartiger Software stark genutzt. Virulente Dateien können Archive, ausführbare Dateien, PDF- und Microsoft Office Dokumente, JavaScript, etc. sein. Sobald eine bösartige Datei geöffnet wird, wird die Infektionskette initiiert.
Zu den häufigsten Methoden zur Verbreitung von Malware gehören Drive-by-Downloads (heimliche und betrügerische Downloads), Spam-E-Mails/Nachrichten, Online-Betrügereien, Freeware- und Download–Webseiten Dritter, P2P-Tauschnetzwerke (z. B. Torrent-Clients, eMule usw.), illegale Programmaktivierungswerkzeuge ("Cracks"), gefälschte Updates und Malvertising.
Wie vermeidet man die Installation von Malware?
Wir raten dringend zur Vorsicht beim Surfen, da illegitime und bösartige Inhalte in der Regel harmlos aussehen. Außerdem empfehlen wir nur von offiziellen und verifizierten Quellen herunterzuladen.
Es ist genauso wichtig Software zu aktivieren und zu aktualisieren, indem Funktionen/Werkzeuge benutzt werden, die von echten Entwicklern stammen, das diejenigen, die von Dritten erworben werden, Malware enthalten können.
Eine weitere Empfehlung ist, bei eingehnder Post vorsichtig zu sein. Die Anhänge und Links, die in verdächtigen/unwichtigen E-Mails und Nachrichten gefunden werden, dürfen nicht geöffnet werden, da sie zu einer Systeminfektion führen können.
Wir müssen betonen, dass die Wichtigkeit eines installierten und aktuell gehaltenen Antivirus sehr hoch ist. Sicherheitsprogramme müssen benutzt werden, um reguläre Systemscans auszuführen und Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir die Durchführung eines Scans mit Combo Cleaner, um infiltrierte Malware automatisch zu entfernen.
Screenshot der Inhalte der ChromeLoader ISO-Datei:
Fehlermeldung, die angezeigt wird, wenn ChromeLoader ausgeführt wird:
Schnellmenü:
- Was ist ChromeLoader?
- SCHRITT 1. Adware Anwendungen mit Systemsteuerung deinstallieren.
- SCHRITT 2. Betrügerische Plug-ins von Google Chrome entfernen.
- SCHRITT 3. Adware-artige Erweiterungen von Mozilla Firefox entfernen.
- SCHRITT 4. Bösartige Erweiterungen von Safari entfernen.
- SCHRITT 5. Betrügerische Plug-ins von Microsoft Edge entfernen.
Adware-Entfernung:
Windows 10 Nutzer:
Machen Sie einen Rechtsklick in der linken unteren Ecke des Bildschirms, im Schnellzugriffmenü wählen Sie Systemsteuerung aus. Im geöffneten Fenster wählen Sie Ein Programm deinstallieren.
Windows 7 Nutzer:
Klicken Sie auf Start ("Windows Logo" in der linken, unteren Ecke Ihres Desktop), wählen Sie Systemsteuerung. Suchen Sie Programme und klicken Sie auf Ein Programm deinstallieren.
macOS (OSX) Nutzer:
Klicken Sie auf Finder, wählen Sie im geöffneten Fenster Anwendungen. Ziehen Sie die App vom Anwendungen Ordner zum Papierkorb (befindet sich im Dock), machen Sie dann einen Rechtsklick auf das Papierkorbzeichen und wählen Sie Papierkorb leeren.
Suchen Sie im Programme deinstallieren Fenster suchen Sie nach allen unerwünschten Anwendungen, wählen Sie diese Einträge aus und klicken Sie auf "Deinstallieren", oder "Entfernen".
Nachdem Sie die unerwünschte Anwendung deinstalliert haben, scannen Sie Ihren Computer auf Überreste unerwünschter Komponenten oder möglichen Malware Infektionen. Um Ihren Computer zu scannen, benutzen Sie die empfohlene Schadsoftware Entfernungssoftware.
Adware von Internetbrowsern entfernen:
Das Video zeigt, wie man potenziell unerwünschte Browser-Add-ons entfernt:
Bösartige Erweiterungen von Google Chrome entfernen:
Klicken Sie auf das Google Chrome-Menü-Symbol 
(in der oberen rechten Ecke von Google Chrome), wählen Sie "Weitere Tools" und klicken Sie auf "Erweiterungen". Suchen Sie nach allen kürzlich installierten verdächtigen Browser-Add-ons und entfernen Sie sie.
Alternative Methode:
Falls Sie weiterhin Probleme mit der Entfernung von chromeloader virus haben, setzen Sie die Einstellungen Ihres Google Chrome Browsers zurück. Klicken Sie auf das Chrome Menü-Symbol (in der oberen rechten Ecke von Google Chrome) und wählen Sie Einstellungen. Scrollen Sie zum Ende der Seite herunter. Klicken Sie auf den Erweitert... Link.
Nachdem Sie zum Ende der Seite hinuntergescrollt haben, klicken Sie auf das Zurücksetzen (Einstellungen auf ihren ursprünglichen Standard wiederherstellen) Feld.
Im geöffneten Fenster bestätigen Sie, dass Sie die Google Chrome Einstellungen auf Standard zurücksetzen möchten, indem Sie auf das Zurücksetzen Feld klicken.
Bösartige Plug-ins von Mozilla Firefox entfernen:
Klicken Sie auf das Firefox Menü-Symbol 
(rechte obere Ecke des Hauptfensters), wählen Sie "Add-ons". Klicken Sie auf "Erweiterungen" und entfernen Sie im geöffneten Fenster alle kürzlich installierten, verdächtigen Browser-Plug-ins.
Alternative Methode:
Computernutzer, die Probleme mit der Entfernung von chromeloader virus haben, können Ihre Mozilla Firefox Einstellungen auf Standard zurücksetzen. Öffnen Sie Mozilla Firefox. In der oberen rechten Ecke des Hauptfensters klicken Sie auf das Firefox Menü , im geöffneten Menü klicken Sie auf das Hilfsmenü öffnen Feld 
Wählen Sie Problemlösungsinformationen.
Im geöffneten Fenster klicken Sie auf das Firefox Zurücksetzen Feld.
Im geöffneten Fenster bestätigen Sie, dass sie die Mozilla Firefox Einstellungen auf Standard zurücksetzen wollen, indem Sie auf das Zurücksetzen Feld klicken.
Bösartige Erweiterungen von Safari entfernen:
Vergewissern Sie sich, dass Ihr Safari Browser aktiv ist und klicken Sie auf das Safari Menü. Wählen Sie dann Einstellungen...
Wählen Sie im Einstellungen Fenster den Erweiterungen Reiter aus. Suchen Sie nach allen kürzlich installierten, verdächtigen Erweiterungen und deinstallieren Sie sie.
Wählen Sie im Einstellungen Fenster den Allgemein Reiter aus und vergewissern Sie sich, dass Ihre Startseite auf eine bevorzugte URL eingestellt ist. Falls sie von einem Browserentführer verändert wurde, ändern Sie sie.
Wählen Sie im Einstellungen Fenster den Suche Reiter aus und vergewissern Sie sich, dass Ihre bevorzugte Internetsuchmaschine ausgewählt ist.
Alternative Methode:
Vergewissern Sie sich, dass Ihr Safari Browser aktiv ist und klicken Sie auf das Safari Menü. Vom sich aufklappenden Auswahlmenü wählen Sie Verlauf und Internetseitendaten löschen...
Wählen Sie im geöffneten Fenster Gesamtverlauf und klicken Sie auf das Verlauf löschen Feld.
Bösartige Erweiterungen von Microsoft Edge entfernen:
Klicken Sie auf das Edge Menüsymbol 
(in der oberen rechten Ecke von Microsoft Edge) und wählen Sie "Erweiterungen". Suchen Sie alle kürzlich installierten verdächtigen Browser-Add-Ons und entfernen Sie sie.
Ändern Sie Ihre Startseite und neue Registerkarteneinstellungen:
Klicken Sie auf das Menüsymbol Microsoft Edge (Chromium) (in der oberen rechten Ecke von Microsoft Edge) und wählen Sie "Einstellungen". Suchen Sie im Abschnitt "Beim Start" nach dem Namen des Browserentführers und klicken Sie auf "Deaktivieren".
Ändern Sie Ihre Standard-Internetsuchmaschine:
So ändern Sie Ihre Standardsuchmaschine in Microsoft Edge: Klicken Sie auf das Menüsymbol Microsoft Edge (Chromium) (in der oberen rechten Ecke von Microsoft Edge), wählen Sie "Datenschutz und Dienste", blättern Sie zum Ende der Seite und wählen Sie "Adressleiste". Suchen Sie im Abschnitt "In der Adressleiste verwendete Suchmaschinen" nach dem Namen der
unerwünschten Internetsuchmaschine, und klicken Sie bei der Suche auf die Schaltfläche "Deaktivieren" in der Nähe der Suchmaschine. Alternativ können Sie auf "Suchmaschinen verwalten" klicken und im geöffneten Menü nach der unerwünschten Internetsuchmaschine suchen. Klicken Sie auf das Puzzlesymbol 
in der Nähe und wählen Sie "Deaktivieren".
Alternative Methode:
Wenn Sie weiterhin Probleme mit der Entfernung von chromeloader virus haben, setzen Sie Ihre Microsoft Edge Browsereinstellungen zurück. Klicken Sie auf das Edge Menüsymbol (in der oberen rechten Ecke von Microsoft Edge) und wählen Sie Einstellungen.
Wählen Sie im geöffneten Einstellungsmenü die Option Einstellungen zurücksetzen.
Wählen Sie Einstellungen auf ihre Standardwerte zurücksetzen. im geöffneten Fenster bestätigen Sie, dass Sie die Microsoft Edge Einstellungen standardmäßig zurücksetzen wollen, indem Sie auf die Schaltfläche Zurücksetzen klicken.
- Wenn dies nicht geholfen hat, befolgen Sie diese alternativen Anweisungen, die erklären, wie man den Microfost Edge Browser zurücksetzt.
Zusammenfassung:
Ein Browserentführer ist eine Art werbefinanzierter Software, die die Internetbrowser Einstellungen von Benutzern verändert, indem ihre Startseite und Standardsuchmaschine auf eine unerwünschte Internetseite geändert wird. Diese Art werbefinanzierter Software infiltriert das Betriebssystem der Benutzer meistens über kostenlose Software Downloads. Falls Ihr Download von einem Downloadklienten verwaltet wird, vergewissern Sie sich, dass Sie die beworbenen Symbolleisten, oder Anwendungen ablehnen, die versuchen, Ihre Startseite und Standardsuchmaschine zu verändern.
Hilfe beim Entfernen:
Falls Sie Probleme beim Versuch chromeloader virus von Ihren Internetbrowsern zu entfernen haben, bitten Sie bitte um Hilfe in unserem Schadensoftware Entfernungsforum.
Kommentare hinterlassen:
Falls Sie zusätzliche Informationen über chromeloader virus, oder seine Entfernung haben, teilen Sie bitte Ihr Wissen im unten aufgeführten Kommentare Abschnitt.
Quelle: https://www.pcrisk.com/removal-guides/23957-chromeloader-malware
Häufig gestellte Fragen (FAQ)
Was ist der Zweck von ChromeLoader Malware?
ChromeLoader soll bösartige Erweiterungen auf den Browsern von Opfern installieren. Während der Recherche zeigte die Browsererweiterung von ChromeLoader Fähigkeiten von Adware und Browserentführern. Mit anderen Worten, zeigt sie Werbung und modifizierte Browsereinstellungen, um Weiterleitungen zu verursachen. Da ChromeLoader recht kompliziert aufgebaut ist, ist es möglich, dass dieses bösartige Programm mit weiteren schädlichen Funktionen aktualisiert wird (z. B. Extraktion sensibler Daten, Aufzeichnung von Informationen usw.).
Was sind die von Adware und Browserentführer-Infektionen ausgehenden Bedrohungen?
Browserentführer ändern die Browser-Einstellungen (und können mit Hilfe von Persistenzsicherungstaktiken verhindern, dass Benutzer auf sie zugreifen oder sie ändern), um Weiterleitungen auf gefälschte Suchmaschinen zu verursachen. Die Weiterleitungen können vorkommen, wenn neue Browser-Registerkarten/-Fenster geöffnet werden, Suchanfragen in die URL-Leiste eingegeben werden, etc. Illegitime Suchmaschinen sammeln typischerweise Informationen über ihre Besucher. Da diese Webseiten selten fähig sind Suchergebnisse zu erzeugen, leiten sie auf legitime weiter (z.B., Google, Bing, Yahoo, etc.).
Adware soll Werbung auf besuchten Webseiten und/oder anderen Oberflächen anzeigen. Einige Arten können Seiten auf gewaltsam öffnen und private Daten sammeln. Die gelieferte Werbung ist dafür bekannt betrügerische/bösartige Inhalte zu fördern und einige kann heimlich Downloads/Installationen (nach dem Anklicken) durchführen.
Daher kann die Gegenwart dieser Programme auf einen Gerät zu Systeminfektionen, schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.
Wie hat ChromeLoader Malware meinen Computer infiltriert?
ChromeLoader wurde aktiv über Twitter-Nachrichten verbreitet, in denen für raubkopierte Programme/Medien über QR-Codes geworben wurde, die die Benutzer dazu verleiten, eine schädliche ISO-Datei zu installieren. Im Allgemeinen wird Malware hauptsächlich durch Drive-by-Downloads, Online-Betrügereien, Spam-E-Mails und -Nachrichten, nicht vertrauenswürdige Downloadquellen (z.B. inoffizielle und Freeware-Webseiten, Peer-to-Peer-Netzwerke usw.), illegale Programmaktivierungswerkzeuge ("Cracking"), gefälschte Updates und bösartige Werbung verbreitet.
Wird mich Combo Cleaner vor Malware schützen?
Ja. Combo Cleaner kann fast alle bekannten Malware-Infektionen erkennen und entfernen. Die Durchführung eines vollständigen Systemscans ist jedoch essenziell, da hochwertige, bösartige Programme, sich gewöhnlich tief in Systemen verstecken.
Ausgezeichnet!
▼ Diskussion einblenden