So entfernen Sie den Fernzugriffstrojaner PureHVNC

Was für eine Art von Malware ist PureHVNC?

PureHVNC ist ein Remote Access Trojaner (RAT). Diese Art von Malware ermöglicht den Fernzugriff/die Fernsteuerung infizierter Geräte. PureHVNC verfügt über umfangreiche Fähigkeiten zum Datendiebstahl. Dieser Trojaner wurde über gefälschte generative KI-Websites verbreitet, die über Facebook beworben wurden. Es gibt starke Hinweise darauf, dass die Cyberkriminellen hinter diesen Kampagnen vietnamesischsprachig sind.

Übersicht über die Malware PureHVNC

PureHVNC wurde über Malvertising-Kampagnen zum Thema KI auf Facebook verbreitet (weitere Informationen finden Sie weiter unten im Artikel). Dieser Trojaner könnte jedoch auch über andere Methoden verbreitet werden. PureHVNC ist ein RAT (Remote Access Trojan) – ein Schadprogramm, das den Fernzugriff und die Fernsteuerung von Computern ermöglicht.

Die Malware infiltriert Systeme in zwei Schritten. Die ausführbare Datei der ersten Stufe startet einen Loader; es wurden mehrere verschiedene Loader entdeckt – die meisten basieren auf .NET basieren. Es wurden mehrere Fälle festgestellt, in denen die ausführbare Datei eine .NET Ahead-Of-Time (AOT)-Kompilierung zu Zwecken der Anti-Analyse und Anti-Erkennung implementiert hat.

Die erste Stufe zielt auf die Umgehung der Erkennung und die Verhinderung der Analyse ab (z. B. Suche nach Informationen zu virtuellen Maschinen, Sandbox-Umgebungen, Sicherheitssoftware usw.), Persistenzsicherung und weitere Payload-Injektion. PureHVNC ist die zentrale Payload, die in der zweiten Phase eingeführt wird.

Wie in der Einleitung erwähnt, verfügt dieses RAT über zahlreiche Funktionen zum Datendiebstahl. Es kann Informationen aus Chromium-basierten Browsern und Browser-Erweiterungen (vollständige Liste unten) extrahieren und exfiltrieren . Zu den Ziel-Daten können Browsing- und Suchmaschinen-Verläufe, Internet-Cookies, Anmeldedaten, personenbezogene Daten, Kredit-/Debitkartennummern usw. gehören.

Der Trojaner kann auch Daten sammeln, die mit Kryptowährungs-Wallets, E-Mail-Clients und Messengern in Verbindung stehen (siehe Liste unten). PureHVNC verwendet Plug-ins für zusätzliche Funktionen. Eines der bekannten Plug-ins, die von diesem Trojaner verwendet werden, verfolgt Vordergrundfenster und macht Screenshots davon, wenn ein bestimmtes Schlüsselwort erkannt wird. Die gesuchten Wörter beziehen sich in erster Linie auf Banken, Bankgeschäfte und Kryptowährungs-Wallets (Liste bekannter Schlüsselwörter).

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Schadsoftware wie PureHVNC RAT auf Geräten zu mehreren Systeminfektionen, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.

Beispiele für Fernzugriffstrojaner

Wir haben zahlreiche RATs untersucht, darunter CurlBack, ResolverRAT, Neptune, Lilith und Triton sind nur einige unserer neuesten Artikel. Diese Trojaner können unglaublich vielseitig und multifunktional sein. Aber auch Malware mit begrenzten Fähigkeiten birgt erhebliche Gefahren. Hinzu kommt, dass bösartige Programme oft in Kombination mit anderen eingesetzt werden.

Unabhängig davon, wie Malware funktioniert, gefährdet ihre Präsenz auf einem System die Integrität des Geräts und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.

Wie ist PureHVNC auf meinen Computer gelangt?

PureHVNC wurde durch Facebook-Malvertising-Kampagnen verbreitet, die generative KI als Köder verwendeten. Über siebzig Beiträge und mehrere bezahlte Anzeigen auf dieser Plattform wurden entdeckt. Diese Inhalte bewarben gefälschte Websites, die Kling AI imitierten – einen generativen KI-Dienst, der von Kuaishou Technology entwickelt wurde.

Benutzer konnten Bilder auf die betrügerischen Websites hochladen, um ein KI-generiertes Bild oder Video zu erstellen, aber anstatt das Ergebnis herunterzuladen, luden sie eine ZIP-Datei herunter. Dieses Archiv enthielt eine ausführbare Datei (.exe), deren Dateityp durch einen umfangreichen Dateinamen voller Hangul-Füllzeichen und eine gefälschte MP4- oder JPG-Erweiterung verschleiert war.

Andere Verbreitungsmethoden sind nicht unwahrscheinlich. Phishing und Social-Engineering-Techniken sind Standard bei der Verbreitung von Malware. Schädliche Software wird in der Regel als normale Programm-/Mediendateien getarnt oder mit diesen gebündelt. Infizierte Dateien können Archive (ZIP, RAR usw.), ausführbare Dateien (.exe, .run usw.), Dokumente (PDF, Microsoft Office, Microsoft OneNote usw.), JavaScript usw. sein.

Malware wird in erster Linie über Trojaner (Loader/Backdoors), Drive-by-Downloads (heimliche/betrügerische Downloads), bösartige Anhänge oder Links in Spam-E-Mails/Nachrichten, Online-Betrug, Malvertising, dubiose Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, P2P-Sharing-Netzwerke usw.), gefälschte Updates und illegale Software-Aktivierungstools („Cracks“).

Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Wie kann man die Installation von Malware vermeiden?

Wir empfehlen Ihnen, beim Surfen im Internet Vorsicht walten zu lassen, da das Internet voller betrügerischer und bösartiger Inhalte ist. Eingehende E-Mails, PMs/DMs, SMS und andere Nachrichten müssen mit Vorsicht behandelt werden. Anhänge oder Links in verdächtigen/irrelevanten E-Mails dürfen nicht geöffnet werden, da sie infektiös sein können.

Wir empfehlen, nur von offiziellen und verifizierten Quellen herunterzuladen. Eine weitere Empfehlung ist, Software mit Originalfunktionen/-tools zu aktivieren und zu aktualisieren, da solche von Drittanbietern Malware enthalten können.

Es ist unerlässlich, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitsprogramme müssen verwendet werden, um regelmäßige Systemscans durchzuführen und erkannte Bedrohungen zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingeschleuste Malware automatisch zu entfernen.

Malvertising auf Facebook zur Werbung für PureHVNC (Bildquelle – Check Point):

Gefälschtes Facebook-Profil von Kling AI zur Werbung für PureHVNC:

Gefälschte generative KI-Websites, die Opfer zum Herunterladen von PureHVNC verleiten:

Beispiel 1:

Beispiel 2:

Von PureHVNC angegriffene Browser:

7Star, 360Browser, Amigo, Atom, Brave, CentBrowser, Chedot, Chrome, ChromePlus, Chromodo, Citrio, CocCoc, Comodo, Coowon, Dragon, Edge, Elements, Epic, Iridium, K-Melon, Kometa, liebao, Maxthon3, Nichrome, Orbitum, Privacy, QIP, QQBrowser, Sleipnir5, Sputnik, Surf, Torch, Uran und Vivaldi.

Betroffene Browser-Erweiterungen im Zusammenhang mit Kryptowährungen:

Binance Chain Wallet, BitApp, BitClip, BitKeep, Braavos, Coin98, Coinbase, CONex, Cyano, EQUAL, Exodus, Finnie, Guarda, iWallet, Jaxx, Keeper, Keplr, Liberty, Liquality, Math, MetaMask, MOBOX, Nifty, Phantom, Rabet, Ronin, Solana, Swash, Terra Station, TezBox, TronLink, Trust, Waves Keeper, Wombat, XDCPay, XDEFI, Yoroi und ZilPay.

Betroffene Browser-Erweiterungen für Authentifizierung und Passwortverwaltung:

Authenticator, Authy, EOS Authenticator, GAuth Authenticator und Trezor Password Manager.

Gezielte Desktop-Krypto-Wallets:

• Atomic Wallet
• Bitcoin-Qt
• Dash-Qt
• Electrum
• Ethereum
• Exodus
• Jaxx
• Ledger Live
• Litecoin-Qt
• Zcash

Weitere betroffene Software:

• Foxmail
• Telegram

Von PureHVNC gesuchte Stichwörter:

ABANCA, Atomic Wallet, Atomicwallet, Banca Agricola Popolare, Banca Monte dei Paschi di Siena, Banca Sella Group, Banco Aliado, Banco Ambrosiano, Banco AV Villas, Banco Azteca, Banco BAC, Banco BBP, Banco BBVA, Banco BCT Bank International, Banco Bi-Bank, Banco Caja Social, Banco CTT, Banco da Itália, Banco Davivienda, Banco de Bogotá, Banco de Occidente, Banco di Napoli, Banco do Brasil, Banco do Nordeste, Banco Ficohsa, Banco General, Banco General Panamá, Banco GNB, Banco Inter, Banco Pan, Banco Santander, Bancolombia, Banistmo, Bank of America, Bankinter, BBVA, BBVA Colômbia, Binance, Brandesco, Bybit, Caixa Geral de Depósitos, Caixabank, Caja de Ahorros, Chase Bank, Citibank Colômbia, Citigroup, Coinbase, Colpatria, Credito Agricola, DK Bank, dkb.de, Eurobic, Exodus, Facebook Ads, FinecoBank, Gate.io, gemini.com, gemini.com/exchange, GNB Sudameris, Goldman Sachs, Google Ads, HSBC, Huntington, Intesa Sanpaolo, Itaú Corpbanca Colômbia, JP Morgan Chase, Lloyds Bank, Metamask, Metro Bank, Moey, Montepio, Novobanco, Nubank, Openbank, PayPal, Poloniex, Prosperity Bank, Revolut, Sanpaolo IMI, Santander, Santander UK, Starling Bank, Truist Bank, Trustwallet, Unibanco, UniCredit, U.S. Bank, Virgin Money UK, Wells Fargo, Western Union.

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist PureHVNC?
• SCHRITT 1. Manuelles Entfernen der PureHVNC-Malware.
• SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.

Wie kann man Malware manuell entfernen?

Das manuelle Entfernen von Malware ist eine komplizierte Aufgabe – in der Regel ist es am besten, dies automatisch von Antiviren- oder Anti-Malware-Programmen durchführen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, beispielsweise mit dem Task-Manager, und ein verdächtiges Programm identifiziert haben, sollten Sie mit den folgenden Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen, die Registrierung und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf „Start“, dann auf „Herunterfahren“, dann auf „Neustart“ und schließlich auf „OK“. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die F8-Taste auf Ihrer Tastatur, bis das Menü „Erweiterte Windows-Startoptionen“ angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerktreibern“ aus der Liste aus.

Video, das zeigt, wie Windows 7 im „abgesicherten Modus mit Netzwerkunterstützung” gestartet wird:

Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkunterstützung – Gehen Sie zum Startbildschirm von Windows 8, geben Sie „Erweitert” ein und wählen Sie in den Suchergebnissen „Einstellungen” aus. Klicken Sie auf „Erweiterte Startoptionen” und wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen” die Option „Erweiterter Start” aus.

Klicken Sie auf die Schaltfläche „Jetzt neu starten”. Ihr Computer wird nun neu gestartet und das Menü „Erweiterte Startoptionen” angezeigt. Klicken Sie auf die Schaltfläche „Problembehandlung” und dann auf die Schaltfläche „Erweiterte Optionen”. Klicken Sie im Bildschirm „Erweiterte Optionen” auf „Starteinstellungen”.

Klicken Sie auf die Schaltfläche „Neustart”. Ihr PC wird neu gestartet und der Bildschirm „Starteinstellungen” angezeigt. Drücken Sie F5, um im abgesicherten Modus mit Netzwerkunterstützung zu starten.

Video, das zeigt, wie Sie Windows 8 im „abgesicherten Modus mit Netzwerkunterstützung” starten:

Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Symbol „Power”. Klicken Sie im geöffneten Menü auf „Restart”, während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen“ auf „Problembehandlung“ und wählen Sie anschließend „Erweiterte Optionen“.

Wählen Sie im Menü „Erweiterte Optionen“ die Option „Startup Settings“ (Startkonfiguration) und klicken Sie auf die Schaltfläche „Restart“ (Neustart). Im folgenden Fenster sollten Sie die Taste „F5“ auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerkunterstützung neu gestartet.

Video, das zeigt, wie Sie Windows 10 im „abgesicherten Modus mit Netzwerkunterstützung” starten:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei „Autoruns.exe“ aus.

Klicken Sie in der Anwendung „Autoruns“ oben auf „Optionen“ und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden“ und „Windows-Einträge ausblenden“. Klicken Sie nach diesem Vorgang auf das „Aktualisieren“.

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Notieren Sie sich den vollständigen Pfad und Namen. Beachten Sie, dass einige Malware-Programme ihre Prozessnamen unter legitimen Windows-Prozessnamen verstecken. In dieser Phase ist es sehr wichtig, dass Sie keine Systemdateien löschen. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf den Namen und wählen Sie „Löschen”.

Nachdem Sie die Malware über die Anwendung „Autoruns“ entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren.

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit PureHVNC-Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?

Die Entfernung von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die die Malware PureHVNC verursachen kann?

Die von einer Infektion ausgehenden Gefahren hängen von den Fähigkeiten der Malware und der Vorgehensweise der Cyberkriminellen ab. PureHVNC ermöglicht die Fernsteuerung von Geräten und verfügt über umfangreiche Funktionen zum Datendiebstahl. Im Allgemeinen kann Malware dieser Art zu mehreren Systeminfektionen, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.

Was ist der Zweck der Malware PureHVNC?

Malware wird hauptsächlich zur Erzielung von Einnahmen eingesetzt. Cyberkriminelle können bösartige Software jedoch auch nutzen, um sich zu amüsieren, persönliche Rachegelüste auszuleben, Prozesse (z. B. Websites, Dienste, Unternehmen usw.) zu stören, Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.

Wie ist die Malware PureHVNC auf meinen Computer gelangt?

PureHVNC wurde über gefälschte, KI-generierte Inhalte verbreitet, die von gefälschten Websites über Facebook beworben wurden. Andere Verbreitungstechniken sind ebenfalls möglich. Malware wird vorwiegend über Trojaner, Drive-by-Downloads, Online-Betrug, Malvertising, Spam-Mails, verdächtige Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, P2P-Tauschbörsen usw.), illegale Software-Aktivierungstools („Cracks“) und gefälschte Updates verbreitet.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner ist in der Lage, praktisch alle bekannten Malware-Infektionen zu erkennen und zu entfernen. Denken Sie daran, dass eine vollständige Systemprüfung unerlässlich ist, da sich hochentwickelte Schadsoftware in der Regel tief im System versteckt.