So entfernen Sie VoidStealer von infizierten Systemen
TrojanerAuch bekannt als: VoidStealer Informationsdieb
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.
JETZT ENTFERNENUm das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Was für eine Art von Malware ist VoidStealer?
VoidStealer ist eine Art von Malware, die sensible Daten aus Browsern stiehlt. Sie nutzt eine auf Debuggern basierende Technik, um den Schutz des Browsers (Application-Bound Encryption) zu umgehen, indem sie den Speicher überwacht, während der Browser läuft. Auf diese Weise kann sie Verschlüsselungsschlüssel erfassen, ohne dass spezielle Berechtigungen erforderlich sind oder Code eingeschleust werden muss. Aus diesem Grund ist sie für Sicherheitsprogramme schwerer zu erkennen.
Einleitung
Application-Bound Encryption (ABE) ist ein Sicherheitsmechanismus, der sensible Daten (wie gespeicherte Passwörter) so verschlüsselt, dass nur der Browser darauf zugreifen kann. Diese Sicherheitsfunktion wurde 2024 in Google Chrome integriert. VoidStealer ist der erste bekannte Malware-as-a-Service-Infostealer (MaaS), bei dem eine Methode zur Umgehung von ABE beobachtet wurde.
VoidStealer gibt es in mehreren Versionen, und diese Umgehungstechnik wurde in Version 2.0 der Malware hinzugefügt. Der Stealer nutzt zwei verschiedene Methoden, um den Browserschutz zu umgehen, falls eine davon nicht funktioniert. Die erste Methode ist allgemein bekannt und beinhaltet das Einfügen in den Browserprozess, was jedoch von Sicherheitsprogrammen leicht erkannt werden kann.
Die zweite Methode ist neuer und versteckter, da sie lediglich den Speicher des Browsers ausliest und sich als Debugger einklinkt. Dadurch fällt sie weniger auf und ist schwerer zu erkennen. In Google Chrome werden gespeicherte Passwörter und andere sensible Informationen verschlüsselt und in einer lokalen Datenbank gespeichert. Diese Daten werden in einer SQLite-Datenbankdatei auf dem System gespeichert, die sich in der Regel im Ordner „AppData“ befindet.
Im Allgemeinen sind Passwörter so geschützt, dass nur der Browser (und autorisierte Prozesse) sie lesen können. Die anwendungsgebundene Verschlüsselung (ABE) schützt einen geheimen Schlüssel unter Verwendung der höchsten Systemrechte unter Windows. Chrome selbst läuft als normaler Benutzer und kann daher nicht direkt auf diesen Schlüssel zugreifen.
Um dieses Problem zu lösen, nutzt Chrome einen speziellen Hintergrunddienst, der mit höheren Berechtigungen ausgeführt wird, um den Schlüssel bei Bedarf sicher zu entsperren. Wenn Chrome eine Anfrage stellt, prüft der Dienst diese und gibt anschließend den entschlüsselten Schlüssel zurück. Chrome verwendet diesen Schlüssel dann zum Ver- und Entschlüsseln sensibler Daten wie Passwörter und Cookies.
Datendiebe könnten den Schutz umgehen, indem sie das Programm mit vollen Rechten ausführen, doch das funktioniert nur in bestimmten Fällen. Sie können sich auch in Chrome einschleusen, um den Schlüssel abzufragen, doch dies lässt sich von Sicherheitsprogrammen leichter erkennen. Chrome schützt den Schlüssel, indem er ihn nur kurz im Speicher belässt und verschlüsselt.
VoidStealer nutzt diesen kurzen Moment aus, indem es den Speicher des Browsers mithilfe eines Debuggers überprüft und den Schlüssel erfasst, ohne dass dafür erweiterte Berechtigungen oder eine Code-Injektion erforderlich sind.
So funktioniert die Technik
VoidStealer zielt auf Browser wie Google Chrome und Microsoft Edge ab. Es startet einen versteckten Browserprozess und fügt sich als Debugger ein. Der Grund dafür ist, dass der Browser beim Start geschützte Daten wie Cookies lädt und entschlüsselt. In diesem Moment ist der geheime Schlüssel kurzzeitig im Speicher verfügbar, sodass dies der richtige Zeitpunkt für die Malware ist, ihn abzufangen.
VoidStealer setzt Haltepunkte und überwacht den Prozess, bis genau dieser Moment erreicht ist; anschließend extrahiert es den Schlüssel direkt aus dem Speicher. Mit diesem Schlüssel kann es sensible Daten wie gespeicherte Passwörter und Cookies entschlüsseln und darauf zugreifen. Cyberkriminelle können diese Informationen für verschiedene böswillige Zwecke missbrauchen.
Sie können damit auf Konten zugreifen (z. B. Social-Media- oder Bankkonten), persönliche Daten stehlen oder Betrug begehen. Außerdem können sie gekaperte Konten nutzen, um Malware und Betrugsversuche zu verbreiten. In manchen Fällen verkaufen sie die gestohlenen Daten im Dark Web an Dritte weiter.
| Name | VoidStealer Informationsdieb |
| Art der Bedrohung | Stealer |
| Bezeichnungen für die Erkennung | Avast (Win64:MalwareX-gen [Pws]), Combo Cleaner (Trojan.Generic.39621760), ESET-NOD32 (Win64/PSW. Agent.SX Trojan), Kaspersky (Trojan-PSW.Win32.Vidar.idm), Microsoft (PWS:Win64/WallStealer.CI!MTB), vollständige Liste (VirusTotal) |
| Symptome | Stealer sind darauf ausgelegt, sich unbemerkt in den Computer des Opfers einzuschleusen und im Hintergrund zu bleiben, sodass auf einem infizierten Rechner keine besonderen Symptome erkennbar sind. |
| Mögliche Vertriebswege | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-Sicherheitslücken, Software-„Cracks“. |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, finanzielle Verluste. |
| Malware-Entfernung (Windows) |
Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. Combo Cleaner herunterladenDer kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk. |
Fazit
VoidStealer ist eine Art von Malware, die darauf ausgelegt ist, sensible Daten aus Browsern zu stehlen. Sie nutzt fortschrittliche Techniken, um Sicherheitsvorkehrungen zu umgehen und auf gespeicherte Daten wie Passwörter und Cookies zuzugreifen. Dies macht sie zu einer ernstzunehmenden Bedrohung, da sie heimlich agieren und einer Entdeckung entgehen kann.
Weitere Beispiele für solche Stealer sind BoryptGrab, MaskGramStealer und Xillen.
Wie hat sich VoidStealer auf meinen Computer eingeschleust?
Cyberkriminelle nutzen häufig Sicherheitslücken in veralteter Software aus oder verbreiten Malware über Raubkopien, inoffizielle Aktivierungstools und Schlüsselgeneratoren. Weitere gängige Methoden sind Betrugsmaschen im Namen des technischen Supports, betrügerische E-Mails oder Nachrichten, die schädliche Links oder Anhänge enthalten, sowie bösartige Werbeanzeigen.
Malware kann auch über infizierte USB-Sticks, gefälschte oder kompromittierte Websites, Peer-to-Peer-Netzwerke (P2P) sowie Download-Tools von Drittanbietern verbreitet werden. Angreifer verstecken sie in der Regel in Dateien wie ausführbaren Dateien, komprimierten Archiven, Skripten oder Dokumenten wie PDFs und Office-Dateien, die Systeme infizieren können, sobald sie geöffnet werden oder weitere Schritte ausgeführt werden.
Wie vermeidet man die Installation von Malware?
Halten Sie Ihr Betriebssystem und alle installierten Programme auf dem neuesten Stand und laden Sie Software und Dateien von offiziellen Websites oder seriösen App-Stores herunter. Vermeiden Sie es, auf verdächtige Anzeigen, Pop-ups oder unbekannte Links zu klicken, insbesondere auf unzuverlässigen Websites, und lassen Sie keine Benachrichtigungen von fragwürdigen Seiten zu.
Seien Sie vorsichtig bei unerwarteten E-Mails oder Nachrichten von unbekannten Absendern – öffnen Sie keine Anhänge und klicken Sie nicht auf Links, es sei denn, Sie sind sich sicher, dass diese unbedenklich sind. Verwenden Sie bewährte Sicherheitstools, um regelmäßige Scans durchzuführen und potenzielle Bedrohungen zu erkennen.
Falls Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um die eingeschleuste Malware automatisch zu entfernen.
VoidStealer wird in einem Hackerforum beworben (Quelle: gendigital.com):
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
LADEN Sie Combo Cleaner herunterIndem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Schnellmenü:
- Was ist VoidStealer?
- SCHRITT 1. Manuelle Entfernung der Malware „VoidStealer“.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer virenfrei ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe – in der Regel ist es am besten, dies automatisch von Antiviren- oder Anti-Malware-Programmen erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:
Wenn Sie beispielsweise mithilfe des Task-Managers die Liste der auf Ihrem Computer ausgeführten Programme überprüft und ein Programm entdeckt haben, das verdächtig erscheint, sollten Sie die folgenden Schritte ausführen:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen sowie die entsprechenden Einträge in der Registrierung und die Speicherorte im Dateisystem an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf „Start“, dann auf „Herunterfahren“, anschließend auf „Neustart“ und schließlich auf „OK“. Drücken Sie während des Startvorgangs mehrmals die F8-Taste auf Ihrer Tastatur, bis das Menü „Erweiterte Windows-Startoptionen“ angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerkunterstützung“ aus der Liste aus.
Video, das zeigt, wie man Windows 7 im „abgesicherten Modus mit Netzwerkunterstützung“ startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkunterstützung – Rufen Sie den Windows 8-Startbildschirm auf, geben Sie „Erweitert“ ein und wählen Sie in den Suchergebnissen „Einstellungen“ aus. Klicken Sie auf „Erweiterte Startoptionen“ und wählen Sie im sich öffnenden Fenster „Allgemeine PC-Einstellungen“ die Option „Erweiterter Start“ aus.
Klicken Sie auf die Schaltfläche „Jetzt neu starten“. Ihr Computer wird nun neu gestartet und das Menü „Erweiterte Startoptionen“ angezeigt. Klicken Sie auf die Schaltfläche „Problembehandlung“ und anschließend auf die Schaltfläche „Erweiterte Optionen“. Klicken Sie im Fenster „Erweiterte Optionen“ auf „Startoptionen“.
Klicken Sie auf die Schaltfläche „Neustart“. Ihr PC wird neu gestartet und zeigt den Bildschirm „Startup-Einstellungen“ an. Drücken Sie F5, um den abgesicherten Modus mit Netzwerkunterstützung zu starten.
Video, das zeigt, wie man Windows 8 im „abgesicherten Modus mit Netzwerkunterstützung“ startet:
Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Symbol für die Energieoptionen aus. Klicken Sie im sich öffnenden Menü auf „Neustart“, während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen“ auf „Problembehandlung“ und wählen Sie anschließend „Erweiterte Optionen“ aus.
Wählen Sie im Menü „Erweiterte Optionen“ den Eintrag „Startoptionen“ aus und klicken Sie auf die Schaltfläche „Neustart“. Im folgenden Fenster drücken Sie die Taste „F5“ auf Ihrer Tastatur. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerkunterstützung neu gestartet.
Video, das zeigt, wie man Windows 10 im „abgesicherten Modus mit Netzwerkunterstützung“ startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei „Autoruns.exe“ aus.
Klicken Sie in der Anwendung „Autoruns“ oben auf „Optionen“ und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden“ und „Windows-Einträge ausblenden“. Klicken Sie anschließend auf das Symbol „Aktualisieren“.
Sehen Sie sich die von der Anwendung „Autoruns“ angezeigte Liste an und suchen Sie die Malware-Datei, die Sie entfernen möchten.
Notieren Sie sich den vollständigen Pfad und den Namen des Programms. Beachten Sie, dass manche Schadprogramme ihre Prozessnamen unter legitimen Windows-Prozessnamen verstecken. In dieser Phase ist es sehr wichtig, das Löschen von Systemdateien zu vermeiden. Wenn Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf dessen Namen und wählen Sie „Löschen“.
Nachdem Sie die Malware mithilfe der Anwendung „Autoruns“ entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner anzeigen, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, löschen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Entfernung von Malware Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei komplexen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als später zu versuchen, die Malware zu entfernen. Um Ihren Computer zu schützen, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie eine Antivirensoftware. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Gerät ist mit der Malware „VoidStealer“ infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?
Das Zurücksetzen oder Löschen eines Geräts ist eine wirksame Methode, um Malware zu entfernen. Dabei werden jedoch auch alle Daten gelöscht, sofern keine Sicherungskopie vorhanden ist. Es wird empfohlen, zunächst zu versuchen, VoidStealer mit einem Sicherheitstool wie Combo Cleaner zu entfernen.
Was sind die größten Probleme, die durch Malware verursacht werden können?
Malware kann zu verschiedenen Problemen führen, wie beispielsweise finanziellen Verlusten oder Identitätsdiebstahl sowie dem Diebstahl persönlicher Daten. Sie kann zudem die Kontrolle über ein Gerät übernehmen und wichtige Dateien beschädigen oder löschen.
Was ist der Zweck von VoidStealer?
Der Zweck von VoidStealer besteht darin, sensible Informationen vom Computer eines Benutzers zu stehlen, insbesondere aus Webbrowsern. Das Programm ist darauf ausgelegt, gespeicherte Passwörter, Cookies und Anmeldedaten zu extrahieren, damit Angreifer auf Konten zugreifen oder andere böswillige Aktionen ausführen können.
Wie hat sich VoidStealer auf mein Gerät eingeschleust?
Cyberkriminelle verbreiten Malware, indem sie Sicherheitslücken in veralteter Software ausnutzen und auf Raubkopien, gefälschte Aktivierungstools sowie Schlüsselgeneratoren zurückgreifen. Zudem bedienen sie sich Phishing-E-Mails, bösartigen Werbeanzeigen und Betrugsmaschen im Namen von technischen Supportdiensten. Darüber hinaus kann Malware von infizierten USB-Sticks, gefälschten Websites, P2P-Netzwerken und Download-Tools von Drittanbietern stammen und ist häufig in Dateien wie ausführbaren Dateien, Archiven, Skripten oder Dokumenten versteckt.
Schützt mich Combo Cleaner vor Malware?
Ja, Combo Cleaner kann die meisten bekannten Schadprogramme erkennen und entfernen. Einige komplexere Bedrohungen können sich jedoch tief im System verstecken. Deshalb ist es wichtig, einen vollständigen Systemscan durchzuführen, um sicherzustellen, dass alles gefunden und entfernt wird.
Teilen:
Facebook
X.com
LinkedIn
Link kopieren
Tomas Meskauskas
Erfahrener Sicherheitsforscher, professioneller Malware-Analyst
Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.
Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
SpendenDas Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
Spenden
▼ Diskussion einblenden