Wie man AtlasCross RAT von infizierten Geräten entfernt

Was für eine Art von Malware ist AtlasCross?

AtlasCross ist ein Fernzugriffstrojaner (Remote Access Trojan, RAT), der es Angreifern ermöglicht, den Computer eines Opfers heimlich zu kontrollieren. Es ist bekannt, dass Cyberkriminelle hauptsächlich chinesischsprachige Benutzer ins Visier nehmen und gefälschte Download-Websites für beliebte Apps nutzen, um den RAT zu verbreiten. AtlasCross ist außerdem darauf ausgelegt, eine Erkennung zu vermeiden.

Mehr über AtlasCross

Cyberkriminelle verwenden ein echtes Tool namens Setup Factory, um den Malware-Installer legitim und sicher aussehen zu lassen. Sie verstecken AtlasCross in mehreren Schichten legitim aussehender Installer, sodass es sicher erscheint, während es das System heimlich infiziert. Bedrohungsakteure verwenden außerdem Anti-Analyse-Techniken, um die Erkennung durch Sicherheitstools und Forscher zu vermeiden.

Der AtlasCross RAT ist die Hauptmalware, die nach der Infektion ausgeführt wird. Er verbindet sich mit dem Server des Angreifers und übernimmt die Kontrolle über das System. Er versteckt sich im Windows-Ordner unter einem zufälligen Namen und führt mehrere Aufgaben aus, wie das Blockieren von Sicherheitstools und die Kommunikation mit Angreifern.

Er führt außerdem heimlich PowerShell innerhalb von sich selbst aus (ohne das Standard-PowerShell-Programm zu verwenden) und deaktiviert Sicherheitsschutzmechanismen, wodurch Angreifer Befehle ohne Erkennung ausführen können. Der RAT kommuniziert mit seinem Kontrollserver unter Verwendung starker Verschlüsselung (ChaCha20).

AtlasCross RAT ermöglicht es Cyberkriminellen, Remote-Sitzungen zu verwalten, was ihnen die Kontrolle über infizierte Systeme gibt. Er kann den Bildschirm anzeigen und Maus- und Tastatureingaben steuern. Die Malware unterstützt auch Prozessinjektion, wodurch sie bösartigen Code innerhalb anderer Programme ausführen kann.

Er kann auch zusätzliche Dateien herunterladen und ausführen und enthält ein Modulverwaltungstool, das es Cyberkriminellen ermöglicht, verschiedene Komponenten der Malware zu laden oder zu aktualisieren. Zusätzlich bietet er Dateizugriff und Shell-Befehle, wodurch Bedrohungsakteure Dateien durchsuchen, ändern und Systembefehle aus der Ferne ausführen können.

Zusätzliche Fähigkeiten

AtlasCross stört Sicherheitsprogramme, indem er deren Netzwerkverbindungen blockiert. Dies schwächt ihre Fähigkeit, das System zu schützen, ohne sie direkt zu schließen. Er überwacht auch gängige Sicherheitstools und Apps wie WeChat und Telegram. Der RAT kann eine bösartige DLL in WeChat injizieren, um die Kontrolle über die App zu übernehmen.

Wenn er einen Befehl erhält, legt er eine DLL-Datei ab, findet den laufenden WeChat-Prozess und zwingt ihn, den bösartigen Code in seinen Speicher zu laden. Diese Funktion wird wahrscheinlich verwendet, um auf Nachrichten zuzugreifen oder Sitzungsdaten zu stehlen.

Darüber hinaus kann AtlasCross eine versteckte geplante Aufgabe in einem Windows-Systemordner platzieren, sodass sie automatisch ausgeführt wird, wenn sich der Benutzer mit hohen Berechtigungen anmeldet. Er tarnt seinen Dateipfad, um die Erkennung durch Sicherheitstools zu vermeiden. Wenn er sich selbst entfernen muss, verzögert er und passt Prozessprioritäten an, sodass er seine eigenen Dateien löschen kann, ohne abzustürzen oder Spuren zu hinterlassen.

Fazit

AtlasCross ist ein ausgeklügelter und heimlicher RAT, der in der Lage ist, die Kontrolle über infizierte Systeme zu übernehmen, Sicherheitsschutzmechanismen zu umgehen und persistent zu bleiben. Opfer dieser Angriffe können auf Probleme wie Identitätsdiebstahl, Kontoübernahme, zusätzliche Infektionen, finanzielle Verluste usw. stoßen. Wenn ein System mit AtlasCross infiziert ist, sollte der RAT sofort entfernt werden.

Weitere Beispiele für RATs sind CrySome, CrystalX und GHOSTFORM.

Wie hat AtlasCross meinen Computer infiltriert?

AtlasCross wird über gefälschte Installer verbreitet, die von typosquatted Webseiten (z. B. www-surfshark[.]com) heruntergeladen werden, die legitime Software-Download-Seiten imitieren. Diese Seiten bieten Tools wie Surfshark, Signal, Telegram, Zoom, Microsoft Teams, VPN-Clients, Messenger, Videokonferenz-Apps, Kryptowährungs-Tracker und E-Commerce-Anwendungen an.

Sie sind darauf ausgelegt, eine ZIP-Datei herunterzuladen, die einen mehrschichtigen Installer enthält, der legitim erscheint und mit einem gestohlenen Zertifikat signiert ist. Nach der Ausführung installiert er eine Köderanwendung (z. B. UltraViewer) zusammen mit versteckten Malware-Komponenten und lädt dann den RAT in mehreren Stufen in den Speicher.

Weitere Beispiele für gefälschte Seiten, die zur Verbreitung bösartiger Installer verwendet werden: app-zoom[.]com, eyy-eyy[.]com, kefubao-pc[.]com, quickq-quickq[.]com, signal-signal[.]com, telegrtam.com[.]cn, trezor-trezor[.]com, ultraviewer-cn[.]com, wwtalk-app[.]com, www-surfshark[.]com und www-teams[.]com.

Wie vermeidet man die Installation von Malware?

Seien Sie vorsichtig mit E-Mails, die unerwartet erscheinen oder von unbekannten Absendern stammen, insbesondere wenn sie Links oder Anhänge enthalten. Wenn Dateien oder Links in solchen Nachrichten verdächtig erscheinen, öffnen Sie sie nicht. Vermeiden Sie außerdem die Interaktion mit Pop-ups, Werbung oder Aufforderungen auf nicht vertrauenswürdigen Webseiten und erlauben Sie keine Benachrichtigungen von dubiosen Seiten.

Laden Sie Software und Dateien von offiziellen Quellen oder verifizierten App-Stores herunter und vermeiden Sie geknackte Programme, raubkopierte Software oder Schlüsselgeneratoren. Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand gehalten werden.

Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um infiltrierte Malware automatisch zu beseitigen.

Gefälschte Webseiten, die bösartige Installer mit AtlasCross verbreiten (Quelle: hexastrike.com):

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist AtlasCross?
• SCHRITT 1. Manuelle Entfernung von AtlasCross Malware.
• SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, Antivirus- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, beispielsweise mit dem Task-Manager, und ein verdächtig aussehendes Programm identifiziert haben, sollten Sie mit diesen Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt automatisch startende Anwendungen, Registry- und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Windows-Menü „Erweiterte Optionen" angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerk" aus der Liste.

Video, das zeigt, wie man Windows 7 im „Abgesicherten Modus mit Netzwerk" startet:

Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerk - Gehen Sie zum Windows 8 Startbildschirm, geben Sie „Erweitert" ein und wählen Sie in den Suchergebnissen „Einstellungen". Klicken Sie auf „Erweiterte Startoptionen" und wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option „Erweiterter Start".

Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun im Menü „Erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm der erweiterten Optionen auf „Starteinstellungen".

Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird im Bildschirm „Starteinstellungen" neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.

Video, das zeigt, wie man Windows 8 im „Abgesicherten Modus mit Netzwerk" startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die „Umschalt"-Taste auf Ihrer Tastatur gedrückt halten. Im Fenster „Option auswählen" klicken Sie auf „Problembehandlung" und wählen Sie dann „Erweiterte Optionen".

Wählen Sie im Menü der erweiterten Optionen „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Video, das zeigt, wie man Windows 10 im „Abgesicherten Modus mit Netzwerk" startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf „Optionen" und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden" und „Windows-Einträge ausblenden". Klicken Sie nach diesem Vorgang auf das Symbol „Aktualisieren".

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Löschen".

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, stellen Sie sicher, dass Sie ihn entfernen.

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antivirus- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, einer Infektion vorzubeugen, anstatt später zu versuchen, Malware zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit AtlasCross Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?

Dieser Schritt kann AtlasCross beseitigen, aber er wird auch alle Dateien und Daten auf dem Gerät löschen. Aus diesem Grund wird oft empfohlen, zunächst zu versuchen, die Malware mit einer seriösen Sicherheitslösung wie Combo Cleaner zu entfernen, bevor man zur Neuformatierung greift.

Was sind die größten Probleme, die Malware verursachen kann?

Malware kann eine Vielzahl schädlicher Aktionen ausführen, wie das Löschen oder Beschädigen von Dateien, das Ablegen zusätzlicher bösartiger Payloads und das Sammeln vertraulicher Informationen. Dies kann zu schwerwiegenden Folgen wie Identitätsdiebstahl, finanziellen Verlusten, unbefugtem Kontozugriff und unwiederbringlichem Datenverlust führen.

Was ist der Zweck von AtlasCross?

Der Zweck von AtlasCross besteht darin, als Fernzugriffstrojaner zu fungieren, der Angreifern die Kontrolle über infizierte Computer gibt. Er wird hauptsächlich verwendet, um Benutzer auszuspionieren, Daten zu stehlen, Befehle aus der Ferne auszuführen und langfristigen Zugriff aufrechtzuerhalten.

Wie hat AtlasCross meinen Computer infiltriert?

AtlasCross wird über bösartige Installer auf gefälschten Webseiten verbreitet, die vertrauenswürdige Software wie Surfshark, Signal, Telegram, Zoom, Microsoft Teams, VPNs und andere beliebte Apps imitieren. Diese Seiten liefern eine ZIP-Datei mit einem scheinbar legitimen Installer, der mit einem gestohlenen Zertifikat signiert ist. Bei der Ausführung installiert er eine Köder-App (wie UltraViewer), während er heimlich den RAT lädt.

Wird Combo Cleaner mich vor Malware schützen?

Ja, Combo Cleaner kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Fortgeschrittene Bedrohungen verstecken sich jedoch oft tief im System, daher ist es wichtig, einen vollständigen Systemscan durchzuführen, um sicherzustellen, dass nichts übersehen wird.