Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.
JETZT ENTFERNENUm das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Was für eine Art von Malware ist DarkCloud?
DarkCloud ist ein Schadprogramm, das als Stealer klassifiziert wird. Malware dieser Kategorie wurde entwickelt, um sensible Informationen von infizierten Systemen zu stehlen. Der Stealer DarkCloud nutzt ausgefeilte Infiltrations- und Anti-Analyse-/Anti-Erkennungs-Techniken.
Übersicht über die Malware DarkCloud
DarkCloud hat sich über drei verschiedene Infektionsketten in Systeme eingeschleust. Alle diese Prozesse umfassen komplexe Schutzmaßnahmen, um eine Analyse und Erkennung zu verhindern; fast jede Stufe ist gesichert.
Um etwas näher auf die bekannten Ketten einzugehen: Sie alle beginnen mit Malspam (bösartigen Spam-E-Mails), die virulente Dateien verbreiten. Die Ketten basieren auf verschiedenen Archivformaten – RAR, TAR oder 7Z (7-Zip). Die beiden erstgenannten enthalten jeweils eine JavaScript (JS)-Datei, während die 7Z-Datei eine Windows Script File (WSF).
In der Kette mit der JavaScript-Datei wird eine PowerShell (PS1)-Datei heruntergeladen/ausgeführt, die dann eine ausführbare Datei (EXE) einführt, bei der es sich um den DarkCloud-Stealer handelt.
Der Prozess mit der Windows Script File lädt ebenfalls eine PowerShell-Datei aus derselben Quelle herunter und führt sie aus, aber die Datei ist nicht dieselbe. In dieser Kette wird eine ausführbare Datei unter einem zufälligen Dateinamen in das temporäre Dateiverzeichnis (%tmp%-Ordner) geschrieben. Die PowerShell-Datei wird dann verwendet, um die EXE-Datei auszuführen.
Um einige der in der Kette zum Schutz verwendeten Mechanismen näher zu erläutern: Es wird eine starke Verschleierung verwendet. Die DarkCloud-Nutzlast kann mit ConfuserEx geschützt werden – einem .NET-Anwendungsschutzprogramm. In diesen Fällen wird auch Process Hollowing eingesetzt – eine Technik, bei der in der Regel ein legitimer, aber angehaltener Prozess erstellt wird, dessen Speicher dann mit dem Code einer bösartigen ausführbaren Datei überschrieben wird, um diese anstelle des harmlosen Prozesses auszuführen.
Es wurden Fälle festgestellt, in denen DarkCloud-Infektionen auf AutoIt zurückgriffen, um der Systemerkennung zu entgehen. Außerdem wurde Verschlüsselung verwendet, um Teile des Codes zu verschleiern.
Wie in der Einleitung erwähnt, ist DarkCloud ein Stealer, der auf sensible Daten abzielt. Er durchsucht bestimmte Verzeichnisse nach Dateien von Interesse (nach Dateiendung und möglicherweise nach Schlüsselwörtern wie Kreditkartennamen).
Im Allgemeinen sind Stealer in der Lage, Informationen aus verschiedenen Anwendungen wie Browsern, VPNs, FTPs, Messengern, Passwort-Manager, E-Mail-Clients, Kryptowährungs-Wallets usw. Zu den angestrebten Informationen können Internet-Cookies, personenbezogene Daten, Benutzernamen/Passwörter, Kredit-/Debitkartennummern usw. gehören.
Es muss erwähnt werden, dass Malware-Entwickler ihre Software und Methoden häufig verbessern. Daher könnte DarkCloud auf andere Weise verbreitet werden oder andere Infiltrationstechniken verwenden. Mögliche zukünftige Versionen dieses Stealers könnten zusätzliche/andere Fähigkeiten und Funktionen haben.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie dem DarkCloud-Stealer auf Geräten zu schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | DarkCloud malware |
| Art der Bedrohung | Trojaner, Stealer, Passwort stehlender Virus. |
| Erkennungsnamen | Avast (Win32:Darkcloud-A [Spy]), Combo Cleaner (Generic.Dacic.CDD4E759.A.8A56DDEC), ESET-NOD32 (A Variant Of Win32/Spy.VB.OLN), Kaspersky (Trojan-PSW.Win32.DarkCloud.aal), Microsoft (Trojan:Win32/DarkCloud!rfn), Vollständige Liste der Erkennungen (VirusTotal) |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich in den Computer des Opfers einschleichen und dort unbemerkt bleiben. Daher sind auf einem infizierten Rechner keine besonderen Symptome erkennbar. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-„Cracks”. |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz. |
| Malware-Entfernung (Windows) |
Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. Combo Cleaner herunterladenDer kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk. |
Beispiele für Malware vom Typ „Stealer“
Wir haben bereits über unzählige Schadprogramme berichtet, darunter JSCEAL, RMC Stealer, Leet, SHUYAL und BOFAMET sind nur einige unserer neuesten Artikel über Stealer. Diese Software kann nur bestimmte Details oder eine breite Palette von Daten ins Visier nehmen.
Darüber hinaus werden Stealer-Programme häufig in Kombination mit anderer Malware eingesetzt. Außerdem sind Funktionen zum Datendiebstahl allgemein weit verbreitet.
Es muss betont werden, dass unabhängig davon, wie Malware funktioniert, ihre Präsenz auf einem System die Integrität des Geräts und die Sicherheit des Benutzers gefährdet. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie ist DarkCloud in meinen Computer gelangt?
DarkCloud wurde über E-Mail-Spam-Kampagnen verbreitet, die ein Archiv im RAR-, TAR- oder 7Z-Format verteilten. Die RAR- und TAR-Archive enthielten JavaScript-Dateien, das 7Z-Archiv eine Windows-Skriptdatei. Dieser Stealer könnte jedoch auch mit anderen Techniken oder Formaten verbreitet werden. Schädliche Dateien können Archive, ausführbare Dateien oder Dokumente sein (z. B. Microsoft Office, Microsoft OneNote, PDF usw.), JavaScript usw. sein. Das bloße Öffnen einer solchen Datei kann bereits ausreichen, um die Infektionskette auszulösen.
Zu den am häufigsten verwendeten Methoden zur Verbreitung von Malware gehören: Trojaner (Backdoors/Loader), Drive-by-Downloads (heimliche/betrügerische Downloads), bösartige Anhänge oder Links in Spam-Mails (z. B. E-Mails, PMs/DMs, SMS usw.), Malvertising, Online-Betrug, raubkopierte Programme/Medien, dubiose Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Netzwerke usw.), illegale Software-Aktivierungstools („Cracks“) und gefälschte Updates.
Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie kann man die Installation von Malware vermeiden?
Vorsicht ist oberstes Gebot, um die Sicherheit von Geräten und Benutzern zu gewährleisten. Seien Sie daher beim Surfen stets wachsam, da das Internet voller irreführender und bösartiger Inhalte ist. Gehen Sie mit eingehenden E-Mails und anderen Nachrichten vorsichtig um; öffnen Sie keine Anhänge oder Links in verdächtigen/irrelevanten Mitteilungen.
Laden Sie außerdem nur von offiziellen und vertrauenswürdigen Quellen herunter. Aktivieren und aktualisieren Sie Programme mit Funktionen/Tools, die von echten Entwicklern bereitgestellt werden, da solche von Drittanbietern Malware enthalten können.
Es ist wichtig, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Diese Software muss verwendet werden, um regelmäßige Systemscans durchzuführen und erkannte Bedrohungen und Probleme zu beseitigen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingeschleuste Malware automatisch zu entfernen.
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
LADEN Sie Combo Cleaner herunterIndem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Schnellmenü:
- Was ist DarkCloud?
- SCHRITT 1. Manuelles Entfernen der DarkCloud-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit DarkCloud-Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?
Die Entfernung von Malware erfordert selten so drastische Maßnahmen.
Was sind die größten Probleme, die DarkCloud-Malware verursachen kann?
Die mit einer Infektion verbundenen Gefahren hängen von den Funktionen der Malware und den Zielen der Cyberkriminellen ab. DarkCloud ist ein Stealer, der sensible Daten von infizierten Geräten exfiltriert. Im Allgemeinen sind Stealer mit schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl verbunden.
Was ist der Zweck der DarkCloud-Malware?
Malware wird in erster Linie dazu verwendet, um Einnahmen zu generieren. Schädliche Software kann jedoch auch dazu verwendet werden, um die Angreifer zu unterhalten oder ihre persönlichen Rachegelüste zu befriedigen, Prozesse (z. B. Websites, Dienste, Unternehmen usw.) zu stören, Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.
Wie ist die Malware DarkCloud auf meinen Computer gelangt?
DarkCloud wurde über Malspam verbreitet. Es könnte auch über andere Methoden als Spam-E-Mails verbreitet worden sein. Zu den häufig verwendeten Techniken zur Verbreitung von Malware gehören: Drive-by-Downloads, Trojaner, nicht vertrauenswürdige Download-Kanäle (z. B. Freeware- und kostenlose Datei-Hosting-Websites, P2P-Sharing-Netzwerke usw.), Malvertising, Online-Betrug, illegale Software-Aktivierungstools („Cracks”), raubkopierte Inhalte und gefälschte Updates. Einige Schadprogramme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Schützt mich Combo Cleaner vor Malware?
Combo Cleaner ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu entfernen. Beachten Sie, dass die Durchführung eines vollständigen System-Scans von entscheidender Bedeutung ist, da sich ausgeklügelte Schadprogramme in der Regel tief im System verstecken.
Teilen:
Facebook
X.com
LinkedIn
Link kopieren
Tomas Meskauskas
Erfahrener Sicherheitsforscher, professioneller Malware-Analyst
Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.
Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
SpendenDas Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
Spenden
▼ Diskussion einblenden