Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.
JETZT ENTFERNENUm das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Was für eine Art von Malware ist 3Crypt RAT?
3Crypt RAT ist ein Remote-Access-Trojaner, der auf macOS-Systeme abzielt. Sobald er ausgeführt wird, erstellt er ein umfassendes Profil des infizierten Rechners - er sammelt Hardware-Identifikatoren, liest die Sicherheitseinstellungen des Geräts aus, kartiert das Netzwerk und listet jeden laufenden Prozess auf. Anschließend installiert er mehrere Persistenzmechanismen, um Neustarts zu überstehen, und verwendet eine Reihe von Umgehungstechniken, um seine Aktivität sowohl vor dem Benutzer als auch vor Sicherheitssoftware zu verbergen. Wenn 3Crypt RAT auf einem Gerät erkannt wird, sollte er so schnell wie möglich entfernt werden.
3Crypt RAT Übersicht
Bei der ersten Ausführung beginnt 3Crypt RAT sofort damit, ein detailliertes Profil des infizierten Macs zu erstellen. Es sammelt Hardwaredetails wie den Modellnamen des Geräts, die Seriennummer, UUID, das CPU-Modell, den installierten RAM und die GPU. Es liest auch den aktuellen Status der in macOS integrierten Sicherheitsfunktionen aus: ob System Integrity Protection (SIP) aktiv ist, ob die FileVault-Festplattenverschlüsselung aktiviert ist und ob die System-Firewall eingeschaltet ist. Dies verschafft dem Angreifer ein sofortiges Bild davon, wie gut das Ziel geschützt ist, bevor weitere Maßnahmen ergriffen werden.
Gleichzeitig wird eine Netzwerkaufklärung durchgeführt. Der RAT identifiziert alle verfügbaren Netzwerkschnittstellen, das Standard-Gateway, DNS-Serveradressen, die lokale ARP-Tabelle und führt einen Scan offener Ports auf dem Rechner durch. Daneben nutzt er systemnahe macOS-Schnittstellen, um eine vollständige Liste aller aktuell laufenden Prozesse zu erhalten - eine Grundlage, die es dem Betreiber ermöglicht, Code in bestimmte Anwendungen einzuschleusen oder diese anderweitig zu manipulieren.
Persistenzmechanismen
3Crypt RAT installiert drei separate Persistenzmechanismen, damit es Neustarts übersteht und auch dann aktiv bleibt, wenn eine Methode entfernt wird. Es schreibt und lädt sofort eine LaunchAgent-Property-List-Datei mit der Kennung com.test.3crypt und setzt das RunAtLoad-Flag, sodass macOS den RAT automatisch bei jeder Benutzeranmeldung startet.
Auch Shell-Initialisierungsdateien werden modifiziert. Die Malware fügt eine versteckte Markierung an .zshrc, .bashrc und .bash_profile an, um sicherzustellen, dass sie sich bei jedem Öffnen einer Terminalsitzung erneut ausführt. Eine dritte Persistenzebene bildet ein Crontab-Eintrag - eine geplante Aufgabe, die den RAT in regelmäßigen Abständen unabhängig von den anderen Mechanismen auslösen kann.
Verteidigungsumgehung
3Crypt RAT nutzt verschiedene Techniken, um eine Erkennung zu vermeiden und die forensische Analyse zu erschweren. Es untersucht die CPU-Bezeichnung und analysiert Speicherzuordnungsmuster, um festzustellen, ob es innerhalb einer virtuellen Maschine oder einer automatisierten Sicherheits-Sandbox läuft. Wenn es vermutet, analysiert zu werden, kann es sein Verhalten ändern, um keine Alarme auszulösen. Es wendet auch Anti-Debugging-Maßnahmen unter Verwendung des ptrace-Systemaufrufs an, der Sicherheitsforscher daran hindert, Analysetools an den laufenden Prozess anzuhängen.
Um forensische Untersuchungen zu behindern, manipuliert der RAT Dateizeitstempel mithilfe des utimes-Systemaufrufs und verbirgt so den tatsächlichen Zeitpunkt seiner Dateioperationen auf der Festplatte. Er fügt auch gefälschte Einträge in Systemprotokolle ein und korrumpiert damit die forensische Spur, auf die sich Ermittler normalerweise verlassen. Schließlich nutzt er osascript - die in macOS integrierte Skriptumgebung - um kontextabhängiges Verstecken durchzuführen, was es ihm ermöglicht, sich unter legitime Systemaktivitäten zu mischen oder seine Sichtbarkeit zu unterdrücken, je nachdem, was sonst noch auf dem Rechner läuft.
| Name | 3Crypt Fernzugriffstrojaner |
| Bedrohungstyp | Fernzugriffstrojaner (RAT), Mac-Malware, Mac-Virus |
| Erkennungsnamen | Avast (MacOS:Agent-BJQ [Trj]), Combo Cleaner (Trojan.Generic.39971543), ESET-NOD32 (OSX/Agent.GV Trojan), Sophos (OSX/CRat-B), Vollständige Liste Der Erkennungen (VirusTotal) |
| Symptome | Fernzugriffstrojaner sind darauf ausgelegt, den Computer des Opfers heimlich zu infiltrieren und unbemerkt zu bleiben, weshalb auf einem infizierten Rechner keine besonderen Symptome deutlich sichtbar sind. |
| Mögliche Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-„Cracks". |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, der Computer des Opfers wird einem Botnet hinzugefügt, zusätzliche Infektionen, finanzielle Verluste, Kontoübernahme, vollständige Systemkompromittierung. |
| Malware-Entfernung (Windows) |
Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. Combo Cleaner herunterladenDer kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk. |
Fazit
3Crypt RAT ist ein leistungsfähiges und gut ausgestattetes Fernzugriffstool, das einem Angreifer persistenten, heimlichen Zugang zum infizierten Mac verschafft. Durch Hardware-Fingerprinting, Prozessauflistung, Netzwerkaufklärung und dreischichtige Persistenz etabliert es einen gründlichen Zugang auf dem kompromittierten Gerät. Seine Umgehungstechniken - einschließlich VM-Erkennung, Anti-Debugging, Zeitstempelmanipulation und Protokollvergiftung - machen es besonders schwierig, es im Nachhinein zu erkennen und zu analysieren.
Opfer können mit Datendiebstahl, Kontoübernahme, Identitätsdiebstahl, finanziellen Verlusten und der Möglichkeit konfrontiert werden, dass über die etablierte Hintertür zusätzliche Malware eingeschleust wird. Da 3Crypt RAT im Verborgenen arbeitet, haben Benutzer oft keinen Hinweis darauf, dass etwas nicht stimmt. Eine Entfernung sollte durchgeführt werden, sobald eine Infektion vermutet wird.
Weitere Beispiele für Malware, die auf macOS abzielt, sind Overlord, GolangGhost und Bella.
Wie hat 3Crypt RAT meinen Computer infiltriert?
Die spezifischen Verbreitungsmethoden, die zur Verbreitung von 3Crypt RAT verwendet werden, sind derzeit unbekannt. Im Allgemeinen verlassen sich Fernzugriffstrojaner auf Phishing und Social Engineering, um Opfer zu erreichen. Bösartige Programme werden typischerweise als legitime Software oder Medien getarnt oder damit gebündelt, und das bloße Öffnen einer infizierten Datei kann ausreichen, um eine Infektion auszulösen.
Gängige Verbreitungskanäle umfassen bösartige E-Mail-Anhänge, Trojaner, Drive-by-Downloads, zweifelhafte Downloadquellen wie Freeware-Seiten und Peer-to-Peer-Netzwerke, raubkopierte Software und Medien, illegale Aktivierungstools („Cracks") und gefälschte Software-Update-Aufforderungen. Einige bösartige Programme sind auch in der Lage, sich über lokale Netzwerke und Wechseldatenträger wie USB-Sticks selbst zu verbreiten.
Wie vermeidet man Malware?
Seien Sie vorsichtig mit E-Mails, Direktnachrichten und Dateien aus unerwarteten oder unbekannten Quellen. Vermeiden Sie es, Anhänge zu öffnen oder Links in verdächtigen Nachrichten anzuklicken. Laden Sie Software nur aus offiziellen Quellen wie dem Mac App Store oder der eigenen Website des Entwicklers herunter und vermeiden Sie gecrackte Anwendungen, Schlüsselgeneratoren und inoffizielle Installationsprogramme. Halten Sie macOS und alle installierten Anwendungen regelmäßig auf dem neuesten Stand.
Vermeiden Sie es, auf Pop-up-Werbung, verdächtige Links oder Browserbenachrichtigungen von unbekannten Websites zu klicken. Verwenden Sie eine seriöse Sicherheitsanwendung und führen Sie regelmäßige Systemscans durch. Wenn Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um alle Bedrohungen automatisch zu beseitigen.
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
LADEN Sie Combo Cleaner herunterIndem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Schnellmenü:
Entfernung potenziell unerwünschter Anwendungen:
Entfernen Sie potenziell unerwünschte Anwendungen aus Ihrem Ordner „Programme":
Klicken Sie auf das Finder-Symbol. Wählen Sie im Finder-Fenster „Programme". Suchen Sie im Programmordner nach „MPlayerX", „NicePlayer" oder anderen verdächtigen Anwendungen und ziehen Sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en), die Online-Werbung verursachen, entfernt haben, scannen Sie Ihren Mac auf verbleibende unerwünschte Komponenten.
LADEN Sie die Entfernungssoftware herunter
Combo Cleaner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit 3Crypt RAT Malware infiziert, sollte ich mein Speichergerät formatieren, um sie loszuwerden?
Durch Formatieren wird 3Crypt RAT vollständig entfernt, aber es werden auch alle auf dem Gerät gespeicherten Daten gelöscht. Bevor Sie einen so drastischen Schritt unternehmen, wird generell empfohlen, zunächst ein zuverlässiges Sicherheitstool wie Combo Cleaner auszuprobieren.
Was sind die größten Probleme, die 3Crypt RAT Malware verursachen kann?
3Crypt RAT verschafft Angreifern persistenten, stillen Fernzugriff auf den infizierten Mac. Dies kann zu Datendiebstahl, Kontoübernahme, Identitätsdiebstahl, finanziellen Verlusten und der Bereitstellung zusätzlicher Malware führen. Da es Umgehungstechniken verwendet und ohne sichtbare Symptome arbeitet, kann es lange auf einem System aktiv bleiben, bevor es entdeckt wird.
Was ist der Zweck von 3Crypt RAT Malware?
Der Zweck von 3Crypt RAT ist es, Angreifern dauerhaften Fernzugriff auf infizierte macOS-Geräte zu verschaffen. Durch die Profilierung der Hardware, Sicherheitseinstellungen, des Netzwerks und der laufenden Prozesse bietet es dem Betreiber ein detailliertes Lagebewusstsein und einen persistenten Zugang für weitere Angriffe oder Datendiebstahl.
Wie hat 3Crypt RAT Malware meinen Computer infiltriert?
Die spezifischen Verbreitungsmethoden für 3Crypt RAT sind noch nicht bekannt. Malware wird im Allgemeinen über Phishing-E-Mails, trojanisierte Installationsprogramme, raubkopierte Inhalte, bösartige Werbung, gefälschte Software-Updates und Software-Cracks verbreitet. Einige Bedrohungen verbreiten sich auch über lokale Netzwerke oder Wechseldatenträger.
Wird Combo Cleaner mich vor Malware schützen?
Ja, Combo Cleaner kann eine breite Palette von Bedrohungen erkennen und entfernen. Einige fortgeschrittene Malware kann sich jedoch tief im System verstecken, weshalb die Durchführung eines vollständigen Scans dringend empfohlen wird, um eine vollständige Beseitigung sicherzustellen.
Teilen:
Facebook
X.com
LinkedIn
Link kopieren
Tomas Meskauskas
Erfahrener Sicherheitsforscher, professioneller Malware-Analyst
Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.
Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
SpendenDas Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
Spenden
▼ Diskussion einblenden