So entfernen Sie die Malware „Eternidade“

Was für eine Art von Malware ist Eternidade?

Eternidade ist ein Schadprogramm, das in der Programmiersprache Delphi geschrieben wurde. Es handelt sich um einen Stealer und Banking-Trojaner, der in der Lage ist, sensible Daten von infizierten Geräten zu extrahieren. Eternidade wurde verwendet, um Nutzer in Brasilien anzugreifen. Diese Malware kann sich über WhatsApp Spam selbst verbreiten.

Eternity Malware-Übersicht

Eternidade ist ein Stealer, der darauf abzielt, Finanzinformationen zu extrahieren und zu exfiltrieren. Zum Zeitpunkt der Erstellung dieses Artikels verbreitet sich diese Malware über Spam-Nachrichten, die über die Messaging-Plattform WhatsApp versendet werden. Die sich schnell verbreitenden Nachrichten sind in brasilianischem Portugiesisch verfasst. Diese Nachrichten enthalten ein bösartiges Skript, das die Infektionskette von Eternidade auslöst.

Bei der Ausführung legt das Skript eine Batch-Datei ab, die dazu dient, einen WhatsApp-Wurm und einen Dropper zu infiltrieren. Ersterer wird verwendet, um Eternidade über den oben genannten WhatsApp-Spam zu verbreiten. Dieser Wurm sammelt die WhatsApp-Kontaktlisten der Opfer, einschließlich Kontaktstatus (gespeichert/nicht gespeichert), WhatsApp-IDs, Kontaktnamen und Telefonnummern. Die gesammelten Daten werden sofort an den C&C-Server (Command and Control) der Angreifer gesendet.

Die Malware verwendet dann die extrahierten Informationen, um personalisierte Nachrichten zu erstellen und diese an alle Kontakte zu senden. Die Namen der Empfänger werden in diese Nachrichten aufgenommen, und je nach Tageszeit wird eine passende Begrüßung ausgewählt (z. B. „bom dia”, „boa tarde”, „boa noite”). Diese Spam-Nachricht enthält das bösartige Skript, und es wird eine folgende Nachricht übermittelt. Es ist jedoch zu beachten, dass der Text und die Sprache der Nachrichten von den Angreifern aus der Ferne geändert werden können. Daher sind Variationen möglich.

Letzteres – der Dropper überprüft die Systemsprache und schließt die Infektion nicht ab, wenn es sich nicht um brasilianisches Portugiesisch handelt. Wenn die Sprache nicht übereinstimmt, wird eine Fehlermeldung angezeigt.

Wenn die Infektion fortgesetzt wird, werden mehrere Payloads in das System eingeschleust. Die Malware sammelt umfangreiche Gerätedaten, d. h. Gerätename, Betriebssystemversion und -architektur, Hardware-Details, insgesamt verfügbarer Speicherplatz, RAM (extrapoliert), IP-Adresse, Datum/Uhrzeit usw. Die Infektion nutzt Mechanismen zur Umgehung der Erkennung, wie z. B. die Überprüfung des Systems auf installierte Antivirensoftware. Die Payloads werden im Speicher ausgeführt, und ein Injector-Trojaner wird verwendet, um die endgültige Payload – Eternidade – einzuschleusen.

Dieser Stealer zielt auf verschiedene Anwendungen im Bereich Bankwesen, Zahlungsdienste und Kryptowährungen ab (vollständige Liste siehe unten). Wenn ein Ziel identifiziert wird, stellt die Malware eine Verbindung zu ihrem C&C-Server her. Bemerkenswert ist, dass Eternidade zwar über eine fest codierte C&C-Adresse verfügt, diese jedoch nur als Backup dient. Der Zugriff auf den eigentlichen C&C-Server erfolgt über E-Mail, wobei die Anmeldedaten fest im Stealer codiert sind. Auf diese Weise kann die Malware ihre Persistenz aufrechterhalten und die C&C-Adresse kontinuierlich aktualisieren.

Eternidade kann entsprechende Phishing-Bildschirme abrufen, die zum Überlagern echter Anwendungen verwendet werden. Diese Überlagerungen zeichnen eingegebene Informationen auf – wie beispielsweise Anmeldedaten. Der Stealer verfügt jedoch noch über weitere Funktionen zum Datendiebstahl, darunter das Exfiltrieren von Dateien, das Erstellen von Screenshots und Keylogging (Aufzeichnen von Tastenanschlägen).

Es muss erwähnt werden, dass Malware-Entwickler ihre Tools und Methoden häufig verbessern. Daher ist es wahrscheinlich, dass Eternidade, von dem es bereits mehrere Varianten gibt, in potenziellen zukünftigen Versionen zusätzliche/andere Funktionen aufweisen wird.

Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie dem Eternidade-Stealer auf Geräten zu schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.

Beispiele für Banking-Malware

Wir haben unzählige Schadprogramme untersucht; Maverick, SORVEPOTEL und BlackMoon sind nur einige unserer neuesten Artikel über Banking-Trojaner. Malware zielt nicht unbedingt nur auf Finanzdaten ab, sondern kann eine Vielzahl von Informationen abgreifen. Viele Malware-Typen verfügen über Funktionen zum Datendiebstahl und/oder werden zusammen mit anderer Schadsoftware eingesetzt.

Unabhängig davon, auf welche Informationen Malware abzielt (falls überhaupt), bleibt ihre Präsenz auf einem System eine Bedrohung für die Sicherheit des Geräts und des Benutzers. Daher müssen alle Bedrohungen sofort nach ihrer Erkennung entfernt werden.

Wie hat sich Eternidade auf meinen Computer eingeschlichen?

Wie im obigen Artikel beschrieben, wurde beobachtet, dass sich Eternidade über WhatsApp-Spam selbst verbreitet. Während des Infektionsprozesses dieses Stealers wird ein WhatsApp-Wurm in die Systeme der Opfer eingeschleust. Die Malware sammelt WhatsApp-Kontaktdaten und verwendet diese, um personalisierte Nachrichten zu versenden. Der Spam enthält ein bösartiges Skript, das die Infektionskette von Eternidade auf den Geräten der Empfänger auslöst.

Andere Verbreitungsmethoden sind nicht unwahrscheinlich. Social Engineering und Phishing sind Standard bei der Verbreitung von Malware. Schädliche Software wird oft als gewöhnliche Inhalte getarnt oder mit diesen gebündelt.

Infektiöse Dateien gibt es in verschiedenen Formaten, beispielsweise als ausführbare Dateien (EXE, RUN usw.), Archive (RAR, ZIP usw.), Dokumente (PDF, Microsoft Office, Microsoft OneNote usw.), JavaScript und so weiter. Allein das Öffnen einer schädlichen Datei kann ausreichen, um die Infektionskette auszulösen.

Zu den am weitesten verbreiteten Verbreitungstechniken gehören: Backdoor-/Loader-Typ-Trojaner, verdächtige Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, Peer-to-Peer-Netzwerke, usw.), Drive-by-Downloads (heimliche/betrügerische Downloads), bösartige Anhänge oder Links in Spam-E-Mails/Nachrichten, Online-Betrug, Malvertising, illegale Software-Aktivierungstools („Cracks“) und gefälschte Updates.

Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Wie kann man die Installation von Malware vermeiden?

Wir empfehlen dringend, nur von offiziellen und vertrauenswürdigen Kanälen herunterzuladen. Aktivieren und aktualisieren Sie Software mit Funktionen/Tools, die von legitimen Entwicklern bereitgestellt werden, da solche von Drittanbietern Malware enthalten können.

Eine weitere Empfehlung lautet, beim Surfen vorsichtig zu sein, da das Internet voller irreführender und gefährlicher Inhalte ist. Eingehende E-Mails und andere Nachrichten müssen mit Vorsicht behandelt werden. Anhänge oder Links in zweifelhaften/irrelevanten E-Mails dürfen nicht geöffnet werden, da sie infektiös sein können.

Es ist unerlässlich, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit Sicherheitsprogrammen müssen regelmäßig Systemscans durchgeführt und erkannte Bedrohungen und Probleme beseitigt werden. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingeschleuste Malware automatisch zu entfernen.

Screenshot einer von Eternidade angezeigten Überlagerung (Bildquelle – Trustwave):

Screenshot des Admin-Panels von Eternidade (Bildquelle – Trustwave):

Banken, die vom Eternidade-Stealer angegriffen wurden:

• BMG Bank
• Bradesco Bank
• BS2 Bank
• Bank der Amazonasregion
• Bank von Brasilien
• Bank des Nordostens (BNB)
• Banrisul
• BTG Pactual
• Caixa Econômica Federal (Caixa, CEF)
• Itaú Unibanco
• Mercantil Bank
• Santander Bank
• Erfolg
• Sicredi
• Tribanco

Gezielte Zahlungsdienste:

• MercadoPago
• RecargaPay
• Stripe

Gezielte Kryptowährungs-Wallets:

• Atomic
• Blockchain.com
• Coinomi
• Electrum
• Exodus
• Ledger
• Math
• MetaMask
• Phantom
• Solflare
• TokenPocket
• Trust

Gezielte Kryptowährungsbörsen:

• Binance
• Bitfinex
• Bitget
• Bitstamp
• Bybit
• Coinbase
• Coinext
• Crypto.com
• Foxbit
• Gate.io
• Gemini
• Huobi
• Kraken
• Kucoin
• Novadax
• OKX
• Poloniex

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist Eternidade?
• SCHRITT 1. Manuelles Entfernen der Eternidade-Malware.
• SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.

Wie kann man Malware manuell entfernen?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe – in der Regel ist es am besten, dies automatisch von Antiviren- oder Anti-Malware-Programmen durchführen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, beispielsweise mithilfe des Task-Managers, und ein verdächtiges Programm identifiziert haben, sollten Sie mit den folgenden Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen, die Registrierung und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf „Start“, dann auf „Herunterfahren“, dann auf „Neustart“ und schließlich auf „OK“. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Menü „Erweiterte Windows-Startoptionen“ angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerkunterstützung“ aus der Liste aus.

Video, das zeigt, wie man Windows 7 im „abgesicherten Modus mit Netzwerkunterstützung” startet:

Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkunterstützung – Gehen Sie zum Windows 8-Startbildschirm, geben Sie „Erweitert” ein und wählen Sie in den Suchergebnissen „Einstellungen” aus. Klicken Sie auf „Erweiterte Startoptionen” und wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen” die Option „Erweiterter Start” aus.

Klicken Sie auf die Schaltfläche „Jetzt neu starten“. Ihr Computer wird nun neu gestartet und das Menü „Erweiterte Startoptionen“ angezeigt. Klicken Sie auf die Schaltfläche „Problembehandlung“ und anschließend auf die Schaltfläche „Erweiterte Optionen“. Klicken Sie im Bildschirm „Erweiterte Optionen“ auf „Starteinstellungen“.

Klicken Sie auf die Schaltfläche „Neustart“. Ihr PC wird neu gestartet und zeigt den Bildschirm „Startup Settings“ (Startkonfiguration) an. Drücken Sie F5, um im abgesicherten Modus mit Netzwerkunterstützung zu starten.

Video, das zeigt, wie man Windows 8 im „abgesicherten Modus mit Netzwerkunterstützung” startet:

Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Symbol „Power“. Klicken Sie im geöffneten Menü auf „Restart“, während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Wählen Sie eine Option“ auf „Fehlerbehebung“ und wählen Sie anschließend „Erweiterte Optionen“.

Wählen Sie im Menü „Erweiterte Optionen“ die Option „Startup Settings“ (Startoptionen) und klicken Sie auf die Schaltfläche „Restart“ (Neustart). Im folgenden Fenster sollten Sie die Taste „F5“ auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerkunterstützung neu gestartet.

Video, das zeigt, wie man Windows 10 im „abgesicherten Modus mit Netzwerkunterstützung” startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei „Autoruns.exe“ aus.

Klicken Sie in der Anwendung „Autoruns“ oben auf „Optionen“ und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden“ und „Windows-Einträge ausblenden“. Klicken Sie anschließend auf das Symbol „Aktualisieren“.

Überprüfen Sie die Liste der Anwendung „Autoruns“ und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware-Programme ihre Prozessnamen unter legitimen Windows-Prozessnamen verstecken. In dieser Phase ist es sehr wichtig, dass Sie keine Systemdateien löschen. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf den Namen und wählen Sie „Löschen“.

Nachdem Sie die Malware über die Anwendung „Autoruns“ entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner anzeigen, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, entfernen Sie ihn unbedingt.

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollten alle Malware-Programme von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Entfernung von Malware-Programmen Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als später zu versuchen, Malware zu entfernen. Um Ihren Computer zu schützen, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie eine Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit der Malware „Eternidade“ infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?

Das Entfernen von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die die Malware „Eternidade“ verursachen kann?

Die von einem Schadprogramm ausgehenden Gefahren hängen von dessen Funktionen und den Zielen der Angreifer ab. Eternidade ist eine Malware zum Datendiebstahl, die auf Bankdaten und andere finanzbezogene Informationen abzielt. Im Allgemeinen kann das Vorhandensein solcher Software auf Geräten zu schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.

Was ist der Zweck der Eternidade-Malware?

Malware wird in erster Linie zu Gewinnzwecken eingesetzt. Cyberkriminelle können bösartige Software jedoch auch dazu nutzen, um Prozesse (z. B. Websites, Dienste, Unternehmen usw.) zu stören, sich zu amüsieren, Rache zu üben, Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.

Wie hat sich die Malware „Eternidade“ auf meinen Computer eingeschleust?

Eternidade infiltriert Systeme zusammen mit einem WhatsApp-Wurm, der sich über ein bösartiges Skript verbreitet, das an die Kontakte der Opfer gesendet wird. Andere Verbreitungsmethoden sind ebenfalls möglich.

Im Allgemeinen verbreitet sich Malware über Trojaner, Drive-by-Downloads, dubiose Download-Quellen (z. B. Freeware- und Drittanbieter-Websites, P2P-Tauschbörsen usw.), Malvertising, Spam-Mails, Online-Betrug, illegale Software-Aktivierungs-Tools („Cracking“) und gefälschte Updates. Einige Schadprogramme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner wurde entwickelt, um Geräte zu scannen und alle Arten von Bedrohungen zu entfernen. Es ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu beseitigen. Denken Sie daran, dass sich hochentwickelte Malware in der Regel tief im System versteckt – daher ist ein vollständiger Systemscan unerlässlich.