Wie entfernt man NANOREMOTE Backdoor vom Betriebssystem
TrojanerAuch bekannt als: NANOREMOTE Malware
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.
JETZT ENTFERNENUm das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Was für eine Art von Malware ist NANOREMOTE?
NANOREMOTE ist eine Backdoor - eine Art von Malware, die einen versteckten Kanal auf einem infizierten Computer öffnet, damit Angreifer jederzeit Befehle erteilen und zusätzliche Nutzlasten übermitteln können. Laut Untersuchungen von Elastic Security Labs ist NANOREMOTE Teil der Bedrohungskampagne REF7707 und eng mit einem weiteren Implantat derselben Familie namens FINALDRAFT verwandt.
Sobald NANOREMOTE aktiv ist, können Betreiber Shell-Befehle ausführen, Dateien verwalten, Programme in den Speicher laden und Daten in die infizierte Maschine hinein- und herausbewegen. Die Kommunikation wird über Googles eigene Dienste geleitet, wodurch der Datenverkehr mit legitimen Aktivitäten verschmilzt.
Mehr über NANOREMOTE
NANOREMOTE wird typischerweise von einer Loader-Komponente namens WMLOADER bereitgestellt. WMLOADER tarnt sich als legitime Bitdefender-Datei namens BDReinit.exe, komplett mit einer gefälschten digitalen Signatur. Bei der Ausführung entschlüsselt er die NANOREMOTE-Nutzlast aus einer verschlüsselten Datei namens wmsetup.log, bevor er sie über eingebetteten Shellcode in den Speicher lädt.
Für die Command-and-Control-Kommunikation nutzt NANOREMOTE die Google Drive API. Es authentifiziert sich mithilfe von OAuth 2.0-Token, die in seiner Konfiguration eingebettet sind, und sendet regelmäßige Beacon-Anfragen an die Server von Google. Da diese Verbindungen zu einer bekannten, vertrauenswürdigen Plattform gehen, ist es für Sicherheitstools schwieriger, sie als verdächtig einzustufen.
Der gesamte Datenverkehr wird mit Zlib komprimiert und anschließend mit AES-CBC verschlüsselt, bevor er gesendet wird. Jede Anfrage folgt einem strukturierten JSON-Format, das einen Maschinenidentifikator, eine Befehls-ID und eine Datennutzlast enthält.
Fähigkeiten von NANOREMOTE
Elastic Security Labs identifizierte 22 in NANOREMOTE eingebaute Befehlshandler, die Betreibern eine umfassende Fernsteuerung über ein infiziertes System ermöglichen. Diese Befehle decken Dateiverwaltung, Code-Ausführung, Datenübertragung und Systemerkundung ab.
Dateibezogene Befehle ermöglichen es Betreibern, Verzeichnisse aufzulisten, durch das Dateisystem zu navigieren und Dateien zu erstellen, zu löschen oder zu verschieben. Betreiber können auch angeschlossene Speicherlaufwerke auflisten sowie Datei-Uploads und -Downloads in die Warteschlange stellen, mit Unterstützung für das Pausieren und Fortsetzen von Übertragungen. Jede Übertragung wird mit einer MD5-Prüfsumme verifiziert.
Auf der Ausführungsseite enthält NANOREMOTE einen benutzerdefinierten PE-Loader, der Programme von der Festplatte ausführen oder Binärdateien im Speicher aus Base64-codierten Nutzlasten ausführen kann, wobei der Standard-Windows-Loader vollständig umgangen wird. Shell-Befehle können ebenfalls ausgegeben und über gestartete Prozesse ausgeführt werden.
Beim Start sammelt die Malware grundlegende Systeminformationen - die IP-Adressen des Computers, Hostname, Benutzername, Betriebssystemversion und ob der aktuelle Benutzer Administratorrechte hat.
Persistenz und Verteidigungsumgehung
NANOREMOTE verwendet Microsofts Detours-Bibliothek, um wichtige Systemfunktionen wie GetStdHandle und ExitProcess abzufangen. Dies verhindert, dass ein einzelner fehlerhafter Thread den gesamten Prozess zum Absturz bringt, was der Malware hilft, weiterzulaufen, selbst wenn einzelne Komponenten auf Fehler stoßen.
Der eingebaute benutzerdefinierte PE-Loader umgeht die Hooks, die Endpoint-Sicherheitsprodukte typischerweise auf den Standard-Windows-Loader setzen. Dies erschwert es Schutzsoftware, neu geladene ausführbare Dateien zur Laufzeit zu erkennen.
NANOREMOTE installiert auch einen prozessweiten Absturz-Handler, der Windows-Minidump-Dateien generiert. Elastic Security Labs stellte fest, dass die Malware ein lokales Verzeichnis namens Log erstellt und detaillierte Aktivitäten in eine Datei namens pe_exe_run.log schreibt, was darauf hindeutet, dass sie mit Blick auf die Fehlerbehebung auf Betreiberseite entwickelt wurde.
| Name | NANOREMOTE Malware |
| Bedrohungstyp | Backdoor, Trojaner |
| Erkennungsnamen | Avast (Win64:Malware-gen), Combo Cleaner (Trojan.Generic.39346873), ESET-NOD32 (Win64/Agent.HWR Trojan), Kaspersky (Trojan-Downloader.Win64.Agent.dur), Microsoft ( Trojan:Win32/Malgent!MSR ), Vollständige Liste (VirusTotal) |
| Symptome | Backdoors sind darauf ausgelegt, den Computer des Opfers heimlich zu infiltrieren und still zu bleiben, daher sind auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar. |
| Verbreitungsmethoden | Trojanisierte Software, gezielte Bereitstellung über einen Loader (WMLOADER). |
| Schaden | Fernzugriff auf das infizierte System, Datenexfiltration über Google Drive, Ausführung zusätzlicher Malware, Identitätsdiebstahl. |
| Malware-Entfernung (Windows) |
Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. Combo Cleaner herunterladenDer kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk. |
Fazit
NANOREMOTE verschafft Angreifern dauerhaften, versteckten Zugang zu einem infizierten Computer und unterstützt ein breites Spektrum an Fernoperationen - von der Ausführung von Befehlen und dem Laden zusätzlicher Malware bis hin zur Exfiltration von Dateien über Google Drive.
Seine Verbindung zur REF7707-Kampagne deutet darauf hin, dass es Teil eines gezielten, sorgfältig koordinierten Angriffsversuchs ist. Die Malware sollte sofort von jedem betroffenen System entfernt werden.
Weitere Beispiele für Backdoors sind A0Backdoor, YiBackdoor und Anubis.
Wie hat NANOREMOTE meinen Computer infiltriert?
Laut Elastic Security Labs wird NANOREMOTE von einem Loader namens WMLOADER bereitgestellt. WMLOADER gibt sich als legitime Bitdefender-Komponente aus - BDReinit.exe - trägt jedoch eine ungültige digitale Signatur. Bei der Ausführung entschlüsselt er die NANOREMOTE-Nutzlast aus einer Datei namens wmsetup.log und lädt sie in den Speicher.
Elastic Security Labs brachte NANOREMOTE mit der REF7707-Kampagne in Verbindung, wobei frühe Proben Aktivitäten zeigten, die im Oktober 2025 von den Philippinen ausgingen. Die Malware teilt einen Verschlüsselungsschlüssel und mehrere Codemuster mit dem FINALDRAFT-Implantat, was darauf hinweist, dass beide aus demselben Entwicklungsaufwand und wahrscheinlich vom selben Bedrohungsakteur stammen.
Im Allgemeinen werden Trojaner und Backdoors über viele Kanäle verbreitet: Phishing-E-Mails mit bösartigen Anhängen, gefälschte Software-Download-Seiten, Malvertising, kompromittierte Websites, Raubkopien und infizierte Wechselmedien.
Wie vermeidet man die Installation von Malware?
Seien Sie vorsichtig mit unerwünschten E-Mails, insbesondere solchen, die Anhänge oder Links enthalten - selbst wenn der Absender vertraut erscheint. Laden Sie Software nur aus offiziellen Quellen herunter und vermeiden Sie Cracks, Schlüsselgeneratoren oder Raubkopien. Halten Sie das Betriebssystem und alle installierten Programme auf dem neuesten Stand, da Updates häufig die Sicherheitslücken schließen, die Angreifer ausnutzen.
Vermeiden Sie das Klicken auf Pop-up-Anzeigen oder Browserbenachrichtigungen von unbekannten Seiten und verwenden Sie ein seriöses Sicherheitsprogramm mit aktiviertem Echtzeitschutz. Führen Sie regelmäßig vollständige Systemscans durch. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingedrungene Malware automatisch zu beseitigen.
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
LADEN Sie Combo Cleaner herunterIndem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.
Schnellmenü:
- Was ist NANOREMOTE?
- SCHRITT 1. Manuelle Entfernung von NANOREMOTE Malware.
- SCHRITT 2. Prüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, Antivirus- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.
Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:
Wenn Sie die Liste der auf Ihrem Computer laufenden Programme überprüft haben, zum Beispiel mit dem Task-Manager, und ein verdächtig aussehendes Programm identifiziert haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt automatisch startende Anwendungen, Registry- und Dateisystem-Speicherorte an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die F8-Taste auf Ihrer Tastatur, bis Sie das Windows-Menü „Erweiterte Optionen" sehen, und wählen Sie dann „Abgesicherter Modus mit Netzwerktreibern" aus der Liste.
Video, das zeigt, wie man Windows 7 im „Abgesicherten Modus mit Netzwerktreibern" startet:
Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerktreibern - Gehen Sie zum Windows 8-Startbildschirm, geben Sie „Erweitert" ein und wählen Sie in den Suchergebnissen „Einstellungen". Klicken Sie auf „Erweiterte Startoptionen" und wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option „Erweiterter Start".
Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun im Menü „Erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm „Erweiterte Optionen" auf „Starteinstellungen".
Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird im Bildschirm „Starteinstellungen" neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerktreibern zu starten.
Video, das zeigt, wie man Windows 8 im „Abgesicherten Modus mit Netzwerktreibern" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Ein/Aus-Symbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die „Umschalt"-Taste auf Ihrer Tastatur gedrückt halten. Im Fenster „Option auswählen" klicken Sie auf „Problembehandlung" und wählen dann „Erweiterte Optionen".
Wählen Sie im Menü „Erweiterte Optionen" die Option „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dies wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerktreibern neu starten.
Video, das zeigt, wie man Windows 10 im „Abgesicherten Modus mit Netzwerktreibern" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf „Optionen" und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden" und „Windows-Einträge ausblenden". Klicken Sie nach diesem Vorgang auf das Symbol „Aktualisieren".
Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Löschen".
Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, stellen Sie sicher, dass Sie ihn entfernen.
Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Bedrohungsentfernung fortgeschrittene Computerkenntnisse erfordert. Wenn Sie diese Kenntnisse nicht haben, überlassen Sie die Malware-Entfernung Antivirus- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, einer Infektion vorzubeugen, anstatt später zu versuchen, Malware zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit NANOREMOTE Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?
Durch Formatierung wird NANOREMOTE entfernt, aber es werden auch alle Dateien auf dem Laufwerk gelöscht. Ein vertrauenswürdiges Sicherheitstool wie Combo Cleaner sollte zuerst ausprobiert werden, da es die Infektion ohne Verlust persönlicher Daten entfernen kann.
Was sind die größten Probleme, die NANOREMOTE Malware verursachen kann?
NANOREMOTE gibt Angreifern die vollständige Fernsteuerung über das infizierte System. Dies kann zu Datendiebstahl, Ausführung zusätzlicher Malware, vollständigem Kontrollverlust über den Computer und - im Laufe der Zeit - zu Identitätsdiebstahl und Finanzbetrug führen.
Was ist der Zweck von NANOREMOTE Malware?
Der Zweck von NANOREMOTE ist es, Angreifern dauerhaften, versteckten Zugang zu einem infizierten Computer zu verschaffen. Betreiber können Befehle ausführen, Dateien verwalten, zusätzliche Programme in den Speicher laden und Daten über Google Drive exfiltrieren - und das alles, ohne entdeckt zu werden.
Wie hat NANOREMOTE Malware meinen Computer infiltriert?
NANOREMOTE wird von einem Loader namens WMLOADER bereitgestellt, der sich als legitime Bitdefender-Datei ausgibt. Es wurde mit der REF7707-Kampagne in Verbindung gebracht. Im Allgemeinen erreichen Backdoors ihre Opfer auch über Phishing-E-Mails, gefälschte Software-Downloads, Raubkopien und kompromittierte Websites.
Wird Combo Cleaner mich vor Malware schützen?
Ja. Combo Cleaner kann die meisten bekannten Malware erkennen und entfernen, einschließlich Backdoors und Trojaner. Da Bedrohungen wie NANOREMOTE darauf ausgelegt sind, sich tief im System zu verstecken, ist es wichtig, einen vollständigen Scan durchzuführen, um sicherzustellen, dass nichts übersehen wird.
Teilen:
Facebook
X.com
LinkedIn
Link kopieren
Tomas Meskauskas
Erfahrener Sicherheitsforscher, professioneller Malware-Analyst
Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.
Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
SpendenDas Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.
Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.
Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.
Spenden
▼ Diskussion einblenden