So entfernt man den SugarGh0st Fernzugrifftrojaner

Welche Art von Malware ist SugarGh0st?

Die SugarGh0st Malware ist ein Fernzugrifftrojaner (Remote Access Trojan (RAT)). Sie ermöglicht den Fernzugriff und die Kontrolle über infizierte Computer. Es ist sehr wahrscheinlich, dass SugarGh0st auf Gh0st RAT basiert.

Es wurde beobachtet, dass dieses bösartige Programm in mehreren Kampagnen eingesetzt wurde, möglicherweise bereits im August 2023. Diese Angriffe richteten sich gegen Benutzer in Südkorea und Regierungsmitarbeiter in Usbekistan. Es gibt einige Hinweise darauf, dass die Bedrohungsakteure hinter diesen Kampagnen Chinesisch sprechen, diese Feststellung ist jedoch nicht endgültig.

Übersicht über SugarGh0st Malware

Zwei spezifische Infektionsketten wurden in SugarGh0st Angriffen bemerkt; beide verwendeten LNK (Windows Shortcut) Dateien. Nach erfolgreicher Infiltration beginnt dieser Trojaner, relevante Gerätedaten zu sammeln, z. B. Gerätename, Betriebssystemversion, Registrierungschlüssel, laufende Prozesse usw.

Wie in der Einleitung erwähnt, ist SugarGh0st darauf ausgelegt, den Fernzugriff/die Fernsteuerung von Geräten zu ermöglichen. Bei dieser RAT handelt es sich um eine hochentwickelte bösartige Software – sie verfügt über Hintertür-Funktionen und kann verschiedene Befehle auf kompromittierten Systemen ausführen.

Um einige ihrer Funktionen noch besser hervorzuheben: Diese Malware ist in der Lage, ihre Privilegien zu erweitern. Sie kann Dateien verwalten, d. h. suchen, lesen, verschieben, kopieren, herunterladen (exfiltrieren) und löschen. Der Trojaner kann auch bösartigen Code von seinem C&C (Command and Control) Server für zusätzlich Funktionen erhalten.

SugarGh0st kann aktive Prozesse beenden. Zu den Fähigkeiten des RAT gehören auch das Erstellen von Screenshots, Keylogging (Aufzeichnung von Tastenanschlägen), die virtuelle Maus (Mausmanipulation) und die Videoaufzeichnung über integrierte/angeschlossene Kameras.

Die oben aufgelisteten Funktionen hatte Gh0st RAT – der vermutete Vorgänger von SugarGh0st. Zu den neuen Funktionen gehören erweiterte Anti-Erkennungsmaßnahmen. Dieser Trojaner kann Bibliotheksdateien herunterladen, die nach Erweiterung und Funktionsname ausgewählt werden. Er sucht auch nach spezifischen ODBC (Open Database Connectivity) Registrierungsschlüsseln.

Es ist wichtig zu erwähnen, dass Malware-Entwickler häufig ihre Software und Methoden verbessern; Daher könnten potenzielle zukünftige Versionen von SugarGh0st über zusätzliche Fähigkeiten oder andere Funktionen verfügen.

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie SugarGh0st auf Geräten zu schweren Datenschutzproblemen, finanziellen Einbußen und Identitätsdiebstahl führen kann. Es muss erwähnt werden, dass Angriffe gegen hochsensible Ziele (z. B. solche, die wesentliche Dienste bereitstellen) sogar noch größere Risiken bergen.

Zusammenfassung der Bedrohung:

Name	SugarGh0st Fernzugrifftrojaner
Art der Bedrohung	Trojaner, RAT, Fernzugrifftrojaner, Passwortstehlender Virus, Banking-Malware, Spyware.
Erkennungsnamen	Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.69401344), ESET-NOD32 (Win32/Agent.AFVD), Kaspersky (HEUR:Trojan.Win32.Loader.gen), Microsoft (Trojan:Win32/Phonzy.A!ml), vollständige Liste von Erkennungen (VirusTotal)
Symptome	Trojaner werden entwickelt, um den Computer des Opfers heimlich zu infiltrieren und ruhig zu bleiben und daher sind auf einer infizierten Maschine keine bestimmten Symptome klar erkennbar.
Verbreitungsmethoden	Infizierte E-Mail-Anhänge, bösartige Online-Werbeanzeigen, Social Engineering, Software-"Cracks".
Schaden	Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, der Computer des Opfers wurde einem Botnetz hinzugefügt.
Malware-Entfernung (Windows)	Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. ▼ Combo Cleaner für Windows herunterladen Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Beispiele für Fernzugrifftrojaner

NineRAT, DLRAT, Millenium, ZenRAT und ValleyRAT sind lediglich einige Beispiele für RATs, über die wir kürzlich geschrieben haben. Während diese Trojaner in der Regel sehr vielseitig sind, können einige für ganz bestimmte Zwecke entwickelt werden.

Unabhängig davon, ob eine Malware nur begrenzte Verwendungsmöglichkeiten oder eine breite Anwendung hat – das Vorhandensein dieser Software auf einem System gefährdet die Geräteintegrität und die Benutzersicherheit. Es ist von größter Wichtigkeit, alle Bedrohungen sofort nach ihrer Entdeckung zu beseitigen.

Wie hat SugarGh0st meinen Computer infiltriert?

Bei den beobachteten SugarGh0st-Infektionen wird dem Opfer nach dem Öffnen der ersten bösartigen Datei ein Täuschungsdokument vorgelegt. Zu den bekannten Beispielen auf Koreanisch gehören: eine Datei mit Inhalten, die von CoinDesk Korea kopiert wurden – einer Online-Nachrichtenquelle zu Kryptowährungen und digitalen Vermögenswerten, Anweisungen zur IT-Wartung für Mitarbeiter und eine Nachricht bezüglich der Erstellung eines Microsoft-Kontos mit einem zufälligen Passwort.

Eine weitere Täuschungsdatei richtete sich gegen Personen, die mit dem Usbekischen Außenministerium in Verbindung stehen. Das Dokument enthielt detaillierte Pläne zur Verbesserung der staatlichen Verwaltung und der technischen Regulierung, wie durch einen Präsidialdekret vorgeschrieben.

Es ist sehr wahrscheinlich, dass die infektiösen Dateien (die die Täuschkörper anzeigen) über E-Mail-Spam-Kampagnen verbreitet wurden. Es muss erwähnt werden, dass andere Täuschungsdateien oder Verbreitungsmethoden nicht unwahrscheinlich sind.

Spam wird bei der Verbreitung von Malware häufig verwendet. Zu diesem Zweck werden neben E-Mails auch PN/DN, SMS, Social-Media-/Forumsbeiträge und andere Kommunikationsarten genutzt.

Zu weiteren beliebten Verbreitungstechniken gehören Drive-by-Downloads (heimlich/betrügerisch), Online-Betrügereien, Malvertising, nicht vertrauenswürdige Downloadkanäle (z. B. inoffizielle und kostenlose File-Hosting-Seiten, P2P-Tauschnetzwerke usw.), Raubkopien und illegale Software-Aktivierungswerkzeuge ("Cracks") und gefälschte Updates.

Außerdem können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Malware wird gewöhnlich mit Software-/Mediendateien getarnt oder mit ihnen gebündelt werden. Das können verschiedene Formate, z.B. Archive (ZIP, RAR usw.), ausführbare Dateien (.exe, .run usw.), Dokumente (Microsoft Office, Microsoft OneNote, PDF etc.), JavaScript und so sein. Beim Öffnen einer virulenten Datei wird die Download-/Installationskette der Malware ausgelöst.

Wie vermeidet man die Installation von Malware?

Wir empfehlen dringend, eingehende E-Mails und andere Nachrichten mit Vorsicht zu behandeln. Anhänge oder Links in zweifelhaften/irrelevanten E-Mails dürfen nicht geöffnet werden, da sie infektiös sein können. Es ist wichtig, dass Sie Microsoft Office-Versionen nach 2010 verwenden, da der Modus "Geschützte Ansicht" die automatische Ausführung von Makrobefehlen verhindert.

Alle Downloads müssen außerdem von offiziellen und verifizierten Quellen durchgeführt werden. Wir empfehlen, Programme mit legitimen Funktionen/Werkzeugen zu aktivieren und zu aktualisieren, da die von Dritten erworbenen Programme Malware enthalten können.

Eine weitere Empfehlung lautet, beim Surfen vorsichtig zu sein, da betrügerische und bösartige Online-Inhalte meist echt und harmlos erscheinen.

Wir müssen betonen, wie wichtig es ist, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitssoftware muss verwendet werden, um regelmäßige Systemscans durchzuführen und erkannte Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.

Screenshots der Täuschungsdokumente, die während der Injektion der SugarGh0st-Malware heruntergeladen und geöffnet wurden:

Umgehende automatische Entfernung von Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

• Was ist SugarGh0st?
• SCHRITT 1. Manuelle Entfernung von SugarGh0st Malware.
• SCHRITT 2. Prüfen Sie, ob Ihr Computer sauber ist.

Wie entfernt man Malware manuell?

Das manuelle Entfernen von Malware ist eine komplizierte Aufgabe - normalerweise ist es das Beste, es Anti-Virus- oder Anti-Malware-Programmen zu erlauben, dies automatisch durchzuführen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner.

Falls Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die sie versuchen zu entfernen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Falls Sie die Liste der Programme überprüft haben, die auf Ihrem Computer laufen, wie beispielsweise mithilfe des Task-Managers und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit diesen Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen, Registrierungs- und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü Erweitere Windows-Optionen angezeigt wird und wählen Sie dann Den abgesicherten Modus mit Netzwerktreibern verwenden aus der Liste aus.

Ein Video, das zeigt, wie Windows 7 in "Abgesicherter Modus mit Netzwerktreibern" gestartet werden kann:

Windows 8 Benutzer: Starten Sie Windows 8 im Abgesicherten Modus mit Vernetzung - Gehen Sie zum Startbildschirm von Windows 8, geben Sie "Erweitert" ein und wählen Sie in den Suchergebnissen "Einstellungen". Klicken Sie auf "Erweiterte Startoptionen", im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie "Erweiterter Start".

Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer startet nun neu und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie im Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".

Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC wird neu gestartet und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im Abgesicherten Modus mit Netzwerktreibern zu starten.

Ein Video, das zeigt, wie Windows 8 in "Abgesicherter Modus mit Netzwerktreibern" gestartet werden kann:

Windows 10 Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf "Neu starten", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster "Option auswählen" auf "Fehlerbehebung" und anschließend auf "Erweiterte Optionen".

Wählen Sie im erweiterten Optionsmenü "Starteinstellungen" aus und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie auf Ihrer Tastatur auf die Taste "F5" klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerktreibern neu gestartet.

Ein Video, das zeigt, wie Windows 10 in "Abgesicherter Modus mit Netzwerktreibern" gestartet werden kann:

Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Anwendung Autoruns oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie nach diesem Vorgang auf das Symbol "Aktualisieren".

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten ihren vollständigen Pfad und Namen aufschreiben. Beachten Sie, dass manche Malware Prozessnamen unter seriösen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf den Namen und wählen Sie "Löschen".

Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie verstecke Dateien und Ordner aktivieren, bevor Sie fortfahren. Falls Sie den Dateinamen der Malware finden, dann stellen Sie sicher, ihn zu entfernen.

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte alle Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Entfernung erweiterte Computerkenntnisse voraussetzt. Wenn Sie diese Fähigkeiten nicht haben, überlassen Sie die Entfernung den Antivirus- und Anti-Malware-Programmen.

Diese Schritte funktionieren bei erweiterten Malware-Infektionen womöglich nicht. Wie immer ist es am Besten, Infektionen zu vermeiden, anstatt Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und benutzen Sie Antivirus-Software. Um sicherzugehen, dass Ihr Computer keine Malware-Infektionen aufweist, empfehlen wir einen Scan mit Combo Cleaner.

Häufig gestellte Fragen (FAQ)

Mein Computer ist SugarGh0st Malware infiziert. Sollte ich mein Speichermedium formatieren, um sie loszuwerden?

Eine Formatierung ist beim Entfernen von bösartigen Programmen nur selten erforderlich.

Was sind die größten Probleme, die SugarGh0st Malware verursachen kann?

Die von einer Infektion ausgehenden Bedrohungen hängen von den Fähigkeiten der Malware und der Vorgehensweise der Cyberkriminellen ab. SugarGh0st RAT wurde entwickelt, um Fernzugriff/Kontrolle über kompromittierte Rechner zu ermöglichen. Sie verfügt über eine breite Palette von Fähigkeiten, die von der Förderung der Infektion bis hin zu ausgeklügeltem Datendiebstahl reichen.

Im Allgemeinen können Infektionen mit hohem Risiko zu schweren Datenschutzproblemen, finanziellen Einbußen und Identitätsdiebstahl führen. Es ist zu beachten, dass Angriffe, die sich gegen hochsensible Ziele richten, eine größere Bedrohung darstellen.

Was ist der Zweck von SugarGh0st Malware?

Malware wird in erster Linie eingesetzt, um Einnahmen zu erzielen, aber das ist nicht der einzige Grund für solche Angriffe. Cyberkriminelle können bösartige Software auch einsetzen, um sich zu amüsieren, persönlichen Groll auszutragen, Prozesse zu stören (z. B. Webseiten, Dienste, Organisationen usw.), sich an Hacktivismus zu beteiligen und sogar politisch/geopolitisch motivierte Angriffe durchzuführen.

Es gibt einige Artefakte, die darauf hindeuten, dass SugarGh0st von chinesischsprachigen Angreifern verwendet wird. Dieses RAT wurde bei Kampagnen festgestellt, die auf koreanische Benutzer und Personen abzielten, die mit dem usbekischen Außenministerium in Verbindung stehen. Diese Angriffe, insbesondere der letztgenannte, könnten den chinesischen Interessen entsprechen.

Wie hat SugarGh0st Malware meinen Computer infiltriert?

Aufgrund der Täuschungsdokumente, die angezeigt werden, wenn bösartige Dateien, die SugarGh0st-Infektionen auslösen sollen, geöffnet werden, ist es wahrscheinlich, dass diese Malware über E-Mail-Spamkampagnen verbreitet wird. Beachten Sie, dass auch andere Täuschungsmanöver und Verteilungsmethoden möglich sind.

Neben Spam-Mails wird Malware häufig über Drive-by-Downloads, Online-Betrügereien, Malvertising, dubiose Download-Quellen (z. B. Freeware- und Drittanbieter-Webseiten, P2P-Tauschnetzwerke usw.), illegale Programmaktivierungswerkzeuge ("Cracking") und gefälschte Updates verbreitet. Einige bösartige Programme können sich sogar selbst über lokale Netzwerke und Wechseldatenträger verbreiten.

Wird Combo Cleaner mich vor Malware schützen?

Ja, Combo Cleaner kann fast alle bekannten Malware-Infektionen erkennen und beseitigen. Da sich hochentwickelte Schadsoftware in der Regel tief im System verbirgt, ist ein vollständiger Systemscan von entscheidender Bedeutung.

▼ Diskussion einblenden