So entfernen Sie die Malware SORVEPOTEL

Was für eine Schadsoftware ist SORVEPOTEL?

SORVEPOTEL ist eine bösartige Software, die auf Bankinformationen abzielt. Es ist zur schnellen Selbstvermehrung über das fähig WhatsApp Messaging-/Kommunikationsdienst. SORVEPOTEL wurde verwendet, um Benutzer in Brasilien anzusprechen. Diese Malware hat brasilianische Regierungsinstitutionen und Organisationen in den Bereichen Bau, Technologie und Bildung kompromittiert.

SORVEPOTEL Malware Übersicht

Wie in der Einleitung erwähnt, kann sich SORVEPOTEL über WhatsApp-Konten verbreiten, die von der Malware selbst kompromittiert werden können. Betroffene Konten werden verwendet, um betrügerische Nachrichten auf Portugiesisch an alle Kontakte und Gruppen zu senden. Die Nachrichten verbreiten eine bösartige ZIP-Datei, auf die angeblich nur über den Computer zugegriffen werden kann.

Der genaue Text kann unterschiedlich sein, doch der Kern besteht darin, die Empfänger dazu zu verleiten, die Archivdatei herunterzuladen und zu öffnen. Die ZIP-Datei enthält einen LNK (Windows-Verknüpfung)-Datei, die beim Start die Infektionskette auslöst. Es handelt sich um einen mehrstufigen Prozess, an dem mehrere Lader und Nutzlasten beteiligt sind.

Der erste Schritt besteht darin, Kontakt zu einem C&C aufzunehmen (Befehl und Kontrolle) Server; daraus, a PowerShell Skript (normalerweise in einem BAT – Batchdatei) wird heruntergeladen. Dieses Skript ist dafür verantwortlich, die Persistenz auf dem infizierten Gerät sicherzustellen (indem es sich selbst so einstellt, dass es bei jedem Systemneustart automatisch startet) und eine Verbindung zu einem anderen C&C herzustellen.

SORVEPOTEL versucht, den Kontakt zu mehreren C&C-Servern aufrechtzuerhalten, von denen es dann nachfolgende Nutzlasten herunterladen kann. Anschließend wird der heruntergeladene Inhalt geladen im Speicher. Zum Zeitpunkt der Recherche wurde beobachtet, dass SORVEPOTEL zwei Payloads nutzte – eine, die auf finanzbezogene Daten abzielte, und eine andere, die WhatsApp-Konten kaperte und sich über diese selbst verbreitete.

Die Malware nutzt Anti-Analyse- und Anti-Debugging Mechanismen. Das Programm überwacht aktive Browser und besuchte URLs für den Zugriff auf interessante Websites.

Zum Zeitpunkt des Verfassens dieses Artikels überprüfte SORVEPOTEL Besuche auf verschiedenen Websites im Zusammenhang mit Kryptowährungen und auf Websites brasilianischer Banken. Zu den Zielen gehören unter anderem:Binance, Blockchain.com, Banco BMG, Banco Bradesco, Bank von Brasilien, Brotbank, Banco Safra, Banestes (Bank des Staates Espírito Santo), Banpara, Banrisul, und Caixa Econômica Federal.

Die Stealer-Payload wird verwendet, um Finanzinformationen zu stehlen. Bei dieser Nutzlast handelt es sich um eine .NET ausführbare Datei, die durch Überprüfung der zugehörigen Systemeinstellungen bestätigt, ob sich das Opfer in Brasilien befindet. Zu den Befehlen, die diese Nutzlast ausführen kann, gehören: laufende Prozesse beenden, eine Liste geöffneter Fenster abrufen, geöffnete Fenster minimieren/maximieren, Maus-/Tastaturaktivitäten überwachen, Screenshots erstellen, Tastatureingaben aufzeichnen (Keylogging) und Overlay-Bildschirme anzeigen, die die Benutzerinteraktion blockieren können.

SORVEPOTEL zeigte Vollbild-Overlays, die als Sicherheitswarnungen der Bank getarnt waren, und solche, die Online-Banking-Anmeldeseiten imitierten. Wenn ein Opfer versucht, auf sein Bankkonto zuzugreifen, wird die Website mit einem überlagert Phishing Bildschirm, der eingegebene Anmeldeinformationen aufzeichnet (z. B. Benutzernamen/Passwörter, 2FA/MFA Codes, PINs, QR-Codes, elektronische Signaturen usw.).

Die zweite Nutzlast ist ebenfalls eine ausführbare .NET-Datei. Es sucht nach aktiven WhatsApp-Sitzungen. Wenn eine solche Sitzung erkannt wird, bricht das Programm ab Selenium und a Google Chrome Browser Driver – Diese Tools werden verwendet, um die Kontrolle über den Browser zu erlangen.

A JavaScript Das Bundle wird verwendet, um auf die internen Funktionen von WhatsApp Web zuzugreifen und sie für Zwecke der Selbstverbreitung zu nutzen (z. B. zum Versenden von Malspam, der SORVEPOTEL-Infektionen verursacht). Da die Konten für den Massenversand von Nachrichten verwendet werden, werden sie häufig wegen Spam-Verdachts gesperrt.

Da diese Infektion auf dem Herunterladen von Payloads beruht, muss erwähnt werden, dass die resultierenden Infektionen und ihre Fähigkeiten je nach in das Gerät eingeschleusten Inhalt unterschiedlich sein können. Darüber hinaus verbessern Malware-Entwickler häufig ihre Software und Methoden. Daher könnten mögliche zukünftige Iterationen von SORVEPOTEL zusätzliche/andere Funktionalitäten haben.

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie SORVEPOTEL auf Geräten zu mehreren Systeminfektionen, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.

Beispiele für Banking-Malware

Wir haben unzählige Schadprogramme untersucht; Osprey, BlackMoon, CarnavalHeist, und CHAVECLOAK sind nur einige unserer Artikel über Software, die zum Diebstahl von Bankinformationen verwendet wurde.

Malware ist ein weit gefasster Begriff, der Software mit verschiedenen Funktionen umfasst. Somit bestimmen sie und die Ziele der Angreifer die Bedrohungen, die von der Infektion ausgehen. Unabhängig davon, wie bösartige Software funktioniert, gefährdet ihr Vorhandensein auf einem System jedoch die Geräte- und Benutzersicherheit. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.

Wie hat SORVEPOTEL meinen Computer infiltriert?

SORVEPOTEL verbreitet sich durch den Versand von Malspam WhatsApp. Die Malware kompromittiert die Konten selbst. Wenn SORVEPOTEL eine aktive WhatsApp Sitzung erkennt, nutzt es diese Selenium, einen Chrome-Treiber und ein JavaScript-Bundle, um das Konto zu kapern und zum Massenversand von Spam zu verwenden. Die Nachrichten werden an alle Kontakte und Gruppen eines betroffenen Kontos gesendet.

Bei der Recherche zielte SORVEPOTEL auf brasilianische Nutzer ab und die Spam-Nachrichten waren auf Portugiesisch. Der darin enthaltene Text sollte die Empfänger dazu verleiten, das gesendete ZIP-Archiv herunterzuladen und zu öffnen. Diese Akten trugen Titel „ORCAMENTO_114418.zip“, „RES-20250930_112057.zip“und andere Namen, die eine Verbindung zu Finanzdokumenten oder einen Bezug zu Gesundheitsanwendungen implizieren. Das Archiv enthielt eine LNK-Datei, die bei der Ausführung die Infektionskette von SORVEPOTEL in Gang setzte.

Eine weitere Art von Malspam, der zur Verbreitung von SORVEPOTEL verwendet wurde, waren Spam-E-Mails. Diese Nachrichten variierten in den Betreffzeilen und den Texten der Briefe. An die E-Mails waren ZIP-Archive angehängt (die ebenfalls LNK-Dateien enthielten), und die folgenden Dateinamen wurden beobachtet„COMPROVANTE_20251001_094031.zip“, „ComprovanteSantander-75319981.682657420.zip“, Und„NEW-20251001_133944-PED_1273E322.zip“.

Andere Verbreitungsmethoden sind nicht unwahrscheinlich. Phishing und Social Engineering sind bei der Verbreitung von Malware Standard. Schädliche Software wird normalerweise als gewöhnliche Programm-/Mediendateien getarnt oder mit diesen gebündelt. Dabei kann es sich um Archive (ZIP, RAR usw.), ausführbare Dateien (EXE, RUN usw.), Dokumente (Microsoft Office, Microsoft OneNote, PDF usw.), JavaScript usw. Das bloße Öffnen einer infektiösen Datei kann ausreichen, um den Download/die Installation von Malware zu starten.

Zu den am weitesten verbreiteten Malware-Verbreitungstechniken gehören: bösartige Anhänge oder Links in Spam (z. B. PMs/DMs, E-Mails, SMS, Beiträge in sozialen Medien/Foren usw.), Trojaner (Hintertüren/Loader), Drive-by-Downloads (heimlich/täuschend), Malvertising, Online-Betrug, zweifelhafte Downloadquellen (z. B. Freeware- und Drittanbieter-Websites, Peer-to-Peer-Sharing-Netzwerke usw.), Raubkopien, illegale Software-Aktivierungstools („Risse") und gefälschte Updates.

Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechselspeichergeräte (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Wie vermeide ich die Installation von Malware?

Wir empfehlen dringend, mit eingehender Kommunikation vorsichtig umzugehen. Anhänge oder Links in verdächtigen/irrelevanten E-Mails dürfen nicht geöffnet werden, da sie ansteckend sein können. Wir raten zur Wachsamkeit beim Surfen, da das Internet voller betrügerischer und bösartiger Inhalte ist.

Eine weitere Empfehlung besteht darin, nur von offiziellen und verifizierten Quellen herunterzuladen. Software muss mit echten Funktionen/Tools aktiviert und aktualisiert werden, da von Drittanbietern erworbene Software Schadsoftware enthalten kann.

Wir müssen betonen, wie wichtig es ist, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitsprogramme müssen verwendet werden, um regelmäßige Systemscans durchzuführen und erkannte Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingeschleuste Malware automatisch zu entfernen.

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist SORVEPOTEL?
• SCHRITT 1.Manuelle Entfernung der SORVEPOTEL-Malware.
• SCHRITT 2.Überprüfen Sie, ob Ihr Computer sauber ist.

Wie entferne ich Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe – normalerweise ist es am besten, dies automatisch von Antiviren- oder Anti-Malware-Programmen durchführen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu ermitteln, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit Task-Manager und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit den folgenden Schritten fortfahren:

Laden Sie ein Programm namens herunter Autoruns. Dieses Programm zeigt Autostart-Anwendungen, Registry und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7:Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf „Start“, auf „Herunterfahren“, auf „Neu starten“ und dann auf „OK“. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Windows-Menü „Erweiterte Optionen“ angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerk“ aus der Liste aus.

Video, das zeigt, wie man Windows 7 im „Abgesicherten Modus mit Netzwerkbetrieb“ startet:

Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb – Gehen Sie zum Windows 8-Startbildschirm, geben Sie „Erweitert“ ein und wählen Sie in den Suchergebnissen „Einstellungen“ aus. Klicken Sie auf „Erweiterte Startoptionen“ und wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen“ die Option „Erweiterter Start“ aus.

Klicken Sie auf die Schaltfläche „Jetzt neu starten“. Ihr Computer wird nun im Menü „Erweiterte Startoptionen“ neu gestartet. Klicken Sie auf die Schaltfläche „Fehlerbehebung“ und dann auf die Schaltfläche „Erweiterte Optionen“. Klicken Sie im Bildschirm mit den erweiterten Optionen auf „Starteinstellungen“.

Klicken Sie auf die Schaltfläche „Neustart“. Ihr PC wird neu gestartet und zeigt den Bildschirm „Starteinstellungen“ an. Drücken Sie F5, um im abgesicherten Modus mit Netzwerkbetrieb zu starten.

Video, das zeigt, wie man Windows 8 im „Abgesicherten Modus mit Netzwerkbetrieb“ startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Power-Symbol. Klicken Sie im geöffneten Menü auf „Neustart“, während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen“ auf „Fehlerbehebung“ und wählen Sie anschließend „Erweiterte Optionen“.

Wählen Sie im Menü „Erweiterte Optionen“ „Starteinstellungen“ und klicken Sie auf die Schaltfläche „Neustart“. Im folgenden Fenster sollten Sie auf die Schaltfläche „F5“ auf Ihrer Tastatur klicken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerkbetrieb neu gestartet.

Video, das zeigt, wie man Windows 10 im „Abgesicherten Modus mit Netzwerkbetrieb“ startet:

Extrahieren Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf „Optionen“ und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden“ und „Windows-Einträge ausblenden“. Klicken Sie nach diesem Vorgang auf das Symbol „Aktualisieren“.

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. Zu diesem Zeitpunkt ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Löschen“.

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie es tun Aktivieren Sie versteckte Dateien und Ordner bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, entfernen Sie diese unbedingt.

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollten Sie jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Fähigkeiten verfügen, überlassen Sie die Entfernung von Malware Antiviren- und Anti-Malware-Programmen.

Bei fortgeschrittenen Malware-Infektionen funktionieren diese Schritte möglicherweise nicht. Wie immer ist es besser, eine Infektion zu verhindern, als später zu versuchen, Malware zu entfernen. Um Ihren Computer zu schützen, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit der SORVEPOTEL Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?

Das Entfernen von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die SORVEPOTEL-Malware verursachen kann?

Die mit einer Infektion verbundenen Gefahren hängen von den Fähigkeiten der Schadsoftware und der Vorgehensweise der Angreifer ab. SORVEPOTEL ist eine informationsstehlende Malware, die sich über WhatsApp selbst verbreiten kann. Es wurde verwendet, um auf bankbezogene Daten abzuzielen. Infektionen dieser Art sind mit dem Risiko schwerwiegender Datenschutzprobleme, finanzieller Verluste und Identitätsdiebstahl verbunden.

Was ist der Zweck der SORVEPOTEL-Malware?

Malware wird am häufigsten gewinnorientiert eingesetzt. Angriffe können jedoch auch durch Belustigung oder persönlichen Groll der Angreifer, Prozessstörungen (z. B. Websites, Dienste, Unternehmen usw.), Hacktivismus und politische/geopolitische Motivationen ausgelöst werden.

Wie hat die SORVEPOTEL-Malware meinen Computer infiltriert?

SORVEPOTEL wurde per E-Mail und WhatsApp-Malspam verbreitet. Es kann sich auch über WhatsApp verbreiten, indem es Konten auf infizierten Geräten kapert und bösartige Archive an alle Kontakte/Gruppen sendet.

Allerdings sind unterschiedliche Vertriebstechniken nicht unwahrscheinlich. Abgesehen von Spam-Mails wird Malware häufig durch Malvertising, Drive-by-Downloads, Trojaner, Online-Betrug, nicht vertrauenswürdige Downloadquellen (z. B. Freeware- und kostenlose File-Hosting-Sites, P2P-Sharing-Netzwerke usw.), Raubkopien von Software/Medien, illegale Aktivierungstools („Cracks“) und gefälschte Updates verbreitet. Einige Schadprogramme können sich über lokale Netzwerke und Wechselspeichergeräte selbst verbreiten.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Bedenken Sie, dass die Durchführung eines vollständigen Systemscans unerlässlich ist, da sich High-End-Schadprogramme normalerweise tief im System verstecken.