FacebookTwitterLinkedIn

Wie vermeidet man die Installation von AppleJeus through JMT Trader?

Auch bekannt als: AppleJeus Hintertür
Typ: Mac Virus
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am (aktualisiert)

Was ist AppleJeus?

AppleJeus ist der Name einer Hintertür-Malware, die von der Lazarus-Gruppe verbreitet wird, sie vertreibt diese bösartige Software über eine gefälschte App, die als Kryptowährungs-Handelsanwendung namens Celas Trade Pro getarnt war. Es gibt eine neue trojanische Kryptowährungshandels-App namens JMT Trader, die sehr ähnlich funktioniert - sie installiert den AppleJeus Hintertür-Trojaner auf dem Computer eines Opfers. JMT Trader kann sowohl auf Windows- als auch auf MacOS-Computern installiert werden.

AppleJeus malware

Um die JMT Traded Anwendung zu bewerben, haben Cyberkriminelle eine angeblich offizielle Website und einen Twitter-Account eingerichtet. Personen, die versuchen, JMT Trader herunterzuladen, werden zu GitHub umgeleitet, sowohl Mac- als auch Windows-Programme für JMT Trader werden dort gespeichert.

Diese Software ist als völlig legitime Anwendung getarnt, die es ihren Benutzern ermöglichen soll, Kryptowährungen auf verschiedenen Plattformen zu handeln. Wenn installiert, infiziert JMT Trader einen Computer mit einem Hintertür-Trojaner namens AppleJeus unter dem Namen CrashReporter.

Um den CrashReporter bei jedem Login zu starten, erstellt der JMT Trader eine geplante Aufgabe namens JMTCrashReporter. Beim Start kommuniziert CrashReporter mit einem Command & Control-Server, um Befehle zu empfangen und auszuführen.

Es kann sich selbst beenden, Dateien vom Command & Control-Server herunterladen und ausführen, Befehle über die Shell ausführen, die Cyberkriminellen eine vollständige Kontrolle über das infizierte System geben würden. CrashReporter-Prozess läuft unter Windows und MacOS unter dem gleichen Namen, dieser Prozess ist vom JMT Trader getrennt, d.h. er läuft im Hintergrund, auch wenn diese Software nicht gestartet wird.

Zusätzlich ist CrashReporter als Daemon, ein Hintergrundprozess, der ohne sichtbare Schnittstelle läuft. Beachten Sie, dass die Eliminierung der JMT Trader-Anwendung AppleJeus (CrashReporter) Malware nicht entfernt, weshalb Sie das System mit einer seriösen Antiviren-/Anti-Spyware-Suite (z.B. Combo Cleaner) scannen sollten, um alle Reste zu entfernen.

Um Celas Trade Pro als legitime Handels-App zu tarnen, haben Cyberkriminelle nicht nur eine Website erstellt, sondern ein ganzes Unternehmen hergestellt. JMT Trader hat auch eine Download-Website und einen Twitter-Account, die beide legitim aussehen.

Außerdem ist JMT Trader ein Klon einer legitimen Software namens QT Bitcoin Trader. Die Namen (JMT Trader und Celas Trade Pro) scheinen die Namen von legitimen Programmen (und Unternehmen) zu sein, deshalb werden Menschen oft dazu verleitet, sie herunterzuladen und zu installieren. Der AppleJeus Backdoor-Trojaner, der über diese Apps installiert wird, kann verwendet werden, um zusätzliche Malware (wie Ransomware) zu installieren, vertrauliche Informationen (Passwörter, Anmeldedaten verschiedener Konten) zu stehlen, Screenshots zu machen und so weiter.

Um Daten, finanzielle Verluste, Identitätsdiebstahl, Probleme mit dem Datenschutz usw. zu vermeiden, empfehlen wir, JMT Trader und alle Dateien im Zusammenhang mit CrashReporter so schnell wie möglich zu entfernen. Untenstehend haben wir Orte mit bösartigen Dateien angegeben.

Zusammenfassung der Bedrohung:
Name AppleJeus Hintertür
Art der Bedrohung Hintertür, Trojan, Mac Malware, Mac Virus
Erkennungsnamen (JMT Trader Installationsprogramm) ALYac (Trojan.OSX.Agent.39168L), GData (Generic.Trojan.Agent.UXGSUS), Ikarus (Trojan.Win32.Casdet), Kaspersky (Backdoor.OSX.Agent.s), Vollständige Liste (VirusTotal)
Erkennungsnamen (CrashReporter bei Mac) BitDefender (Trojan.MAC.Agent.DU), DrWeb (Mac.Trojan.Siggen.1), ESET-NOD32 (OSX/NukeSped.B), Kaspersky (HEUR:Backdoor.OSX.Agent.s), Vollständige Liste (VirusTotal)
Symptome Trojaner sind so konzipiert, dass sie heimlich in den Computer des Opfers eindringen und sich ruhig verhalten, so dass auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar sind.
Verbreitungsmethoden Angeblich offizielles Twitter-Konto und Website, gefälschte Flash-Player-Installationsprogramme, Torrent-Datei-Downloads, Software-Cracking-Tools.
Schaden Gestohlene Bankdaten, Passwörter, Identitätsdiebstahl, Computer des Opfers, der einem Botnetz hinzugefügt wurde, Installation zusätzlicher Malware.
Zusätzliche Informationen Diese Malware richtet sich sowohl an Windows- als auch an MacOS-Anwender. JMT Trader extrahiert ein sekundäres bösartiges Programm (CrashReporter.exe), das als Hintertür arbeitet.
Entfernung

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mac mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Mac herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Das Internet ist voll von verschiedenen Trojanern, einige Beispiele sind Casbaneiro, Bolik und Kryptik. In der Regel sind solche Programme darauf ausgelegt, andere Malware zu verbreiten. So oder so, Menschen, die ihre Computer mit Programmen dieser Art infiziert haben, erleben Daten, finanziellen Verlust, Identitätsdiebstahl oder andere Probleme. Im letzten Abschnitt finden Sie Tipps, wie Sie vermeiden können, bei der Installation verschiedener Malware betrogen zu werden.

Wie wurden potenziell unerwünschte Anwendungen auf meinem Computer installiert?

Cyberkriminelle verbreiten AppleJeus-Malware über eine gefälschte Kryptowährungshandels-Software (JMT Trader), die von einer angeblich offiziellen Website oder Twitter heruntergeladen werden kann. Diese Seiten führen zu Github, wo sowohl Windows- als auch MacOS-Executables gespeichert sind.

Beim Herunterladen und Öffnen installieren diese ausführbaren Dateien JMT Trader und ein sekundäres bösartiges Programm (Backdoor) namens CrashReporter. Dies ist jedoch nicht die einzige Möglichkeit, verschiedene Malware zu verbreiten. Nicht selten machen es Cyberkriminelle mit Spam-Kampagnen (E-Mails), anderen unzuverlässigen Software-Download-Kanälen, inoffiziellen Software-Aktivierungstools und gefälschten Updatern.

Cyberkriminelle verbreiten bösartige Software durch Spam-Kampagnen, indem sie E-Mails mit bösartigen Anhängen versenden. Das Hauptziel ist es, die Empfänger dazu zu bringen, angehängte Dateien zu öffnen.

Wenn es geöffnet wird, infiziert es das System mit Malware. In der Regel hängen Cyberkriminelle Microsoft Office-Dokumente, ausführbare Dateien (wie.exe und andere), Archivdateien (RAR, ZIP usw.) und JavaScript-Dateien an. Eine weitere Möglichkeit, Malware zu verbreiten, besteht darin, unzuverlässige Downloadquellen zu verwenden.

Zum Beispiel Peer-to-Peer-Netzwerke (wie Torrent-Clients, eMule), Freeware-Downloads und kostenlose Datei-Hosting-Websites, Drittanbieter-Downloader, angeblich offizielle Seiten (wie die, die zur Verteilung von JMT Trader verwendet wird), und so weiter. Personen, die Dateien oder Programme über Tools/Kanäle dieser Art herunterladen, riskieren, bösartige Dateien herunterzuladen (normalerweise werden sie als harmlos und legitim getarnt).

Beim Öffnen dieser Dateien wird Malware installiert. Um verschiedene Malware zu verbreiten, verwenden Cyberkriminelle oft auch Software-"Cracking"-Tools. Bei Verwendung dieser Tools werden oft bösartige Programme installiert, anstatt einige nicht kostenlose Software zu aktivieren.

Gefälschte Software-Updater infizieren in der Regel Systeme, indem sie Bugs, Fehler, veraltete Software ausnutzen oder bösartige Software anstelle von Updates installieren.

Wie kann man die Installation von potenziell unerwünschten Anwendungen vermeiden?

Vermeiden Sie es, Anhänge oder Links zu öffnen, die in E-Mails enthalten sind, die von unbekannten, verdächtigen E-Mail-Adressen gesendet werden. Wenn eine empfangene E-Mail irrelevant ist, raten wir davon ab, den beigefügten Anhang zu öffnen oder auf den präsentierten Link zu klicken.

Außerdem ist es wichtig, Software über direkte Download-Links und nur von vertrauenswürdigen, offiziellen Websites herunterzuladen. Wir empfehlen dringend, dafür nicht verschiedene Drittanbieter-Downloader, Installationsprogramme, inoffizielle Seiten oder andere unzuverlässige Quellen zu verwenden.

Diese Quellen können (und werden oft verwendet), um verschiedene bösartige Software (oder andere unerwünschte Software) zu verbreiten. Installierte Software sollte mit Tools oder implementierten Funktionen aktualisiert und aktiviert werden, die von offiziellen Softwareentwicklern bereitgestellt werden, und nicht mit Tools von Drittanbietern.

Außerdem ist es nicht legal, Softwareaktivierungen mit verschiedenen "Cracking"-Tools zu umgehen. Und schließlich ist es immer eine gute Idee, eine seriöse Antiviren- oder Anti-Spyware-Suite zu installieren und das Betriebssystem damit regelmäßig zu überprüfen.

Wenn Ihr Computer bereits mit PUAs infiziert ist, empfehlen wir, eine Überprüfung mit durchzuführen, um diese automatisch zu entfernen.

Screenshots der JMT Trader-Anwendung:

JMT Trader create new password JMT Trader list of exchange platforms JMT Trader control panel

Liste der Dateien des CrashReporters:

  • /Applications/JMTTrader.app/Contents/CrashReporter (MacOS)
  • /Library/JMTTrader/CrashReporter (MacOS)
  • %AppData%\JMTTrader\CrashReporter (Windows OS)

Screenshot des JMT Trader-Installationsprogramms, das nach Berechtigungen für die Installation zusätzlicher Software fragt:

JTM Trader installer asking for permissions to install additional software

CrashReporter-Prozess, der im Activity Monitor ausgeführt wird:

CrashReporter.exe process in Activity Monitor

Umgehende automatische Entfernung von Mac-Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Mac-Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter (Mac) Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Das Video zeigt, wie man Adware und Browserentführer von einem Mac Computer entfernt:

Entfernung potenziell unerwünschter Anwendungen:

Potenziell unerwünschte Anwendungen von Ihrem "Programme" Ordner entfernen:

mac browser hijacker removal from applications folder

Klicken Sie auf das Finder Symbol. Im Finder Fenster, wählen Sie "Programme". Im Anwendungen Ordner, suchen Sie nach “MPlayerX”,“NicePlayer”, oder anderen verdächtigen Anwendungen und ziehen sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die online Werbung verursachen, scannen Sie Ihren Mac auf verbleibende, unerwünschte Komponenten.

AppleJeus Hintertür bezogene Dateien und Ordner entfernen:

Finder go to folder command

Klicken Sie auf das Finder Symbol aus der Menüleiste, wählen Sie Gehen und klicken Sie auf Zum Ordner gehen...

step1Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchAgents Ordner:

removing adware from launch agents folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/LaunchAgents

removing adware from launch agents folder step 2
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step2Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/Application Support Ordner:

removing adware from application support folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/Application Support

removing adware from application support folder step 2
Im "Application Support" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Ordnern. Zum Beispiel "MplayerX" oder "NicePlayer" und bewegen Sie diese Ordner in den Papierkorb.

step3Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im ~/Library/LaunchAgents Ordner:

removing adware from ~launch agents folder step 1


Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchAgents

removing adware from ~launch agents folder step 2Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese Ordner in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step4Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchDaemons Ordner:

removing adware from launch daemons folder step 1
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchDaemons

removing adware from launch daemons folder step 2Im "LaunchDaemons" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien. Zum Beispiel "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist", etc., und bewegen Sie diese in den Papierkorb.

step 5 Scannen Sie Ihren Computer mit Combo Cleaner:

Wenn Sie alle Schritte in der richtigen Reihenfolge befolgt haben, sollte Ihr Mac frei von Infektionen sein. Um sicherzustellen, dass Ihr System nicht infiziert ist, scannen Sie es mit Combo Cleaner Antivirus. HIER herunterladen. Nach dem Herunterladen der Datei, klicken Sie auf das Installationsprogramm combocleaner.dmg. Ziehen Sie im geöffneten Fenster das Symbol Combo Cleaner auf das Symbol Anwendungen und legen Sie es dort ab. Öffnen Sie jetzt Ihr Launchpad und klicken Sie auf das Symbol Combo Cleaner. Warten Sie, bis Combo Cleaner seine Virendatenbank aktualisiert hat und klicken Sie auf die Schaltfläche „Combo Scan starten“.

scan-with-combo-cleaner-1

Combo Cleaner scannt Ihren Mac jetzt auf Infektionen mit Malware. Wenn der Antivirus-Scan „Keine Bedrohungen gefunden“ anzeigt, heißt das, dass Sie mit dem Entfernungsleitfaden fortfahren können. Andernfalls wird empfohlen, alle gefundenen Infektionen vorher zu entfernen.

scan-with-combo-cleaner-2

Nachdem Dateien und Ordner entfernt wurden, die von dieser werbefinanzierten Software erzeugt wurden, entfernen Sie weiter falsche Erweiterungen von Ihren Internetbrowsern.

AppleJeus Hintertür Startseiten und Standard Internetsuchmaschinen von Internetbrowsern:

safari browser iconBösartige Erweiterungen von Safari entfernen:

AppleJeus Hintertür bezogene Safari Erweiterungen entfernen:

safari browser preferences

Öffnen Sie den Safari Browser. Aus der Menüleiste wählen Sie "Safari" und klicken Sie auf "Benutzereinstellungen...".

safari extensions window

Im Benutzereinstellungen Fenster wählen Sie "Erweiterungen" und suchen Sie nach kürzlich installierten, verdächtigen Erweiterungen. Wenn Sie sie gefunden haben, klicken Sie auf "Deinstallieren" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von ihrem Safari Browser deinstallieren können. Keine davon sind unabdingbar für die normale Funktion des Browsers.

  • Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Safari zurücksetzen.

firefox browser iconBösartige Programmerweiterungen von Mozilla Firefox entfernen:

AppleJeus Hintertür bezogene Mozilla Firefox Zusätze entfernen:

accessing mozilla firefox add-ons

Öffen Sie Ihren Mozilla Firefox Browser. In der oberen rechten Ecke des Bildschirms, klicken Sie auf das "Menü öffnen" (drei horizontale Linien) Symbol. Aus dem geöffneten Menü wählen Sie "Zusätze".

removing malicious add-ons from mozilla firefox

Wählen Sie den "Erweiterungen" Reiter und suchen Sie nach allen kürzlich installierten, verdächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Entfernen" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen deinstallieren von Ihrem Mozilla Firefox Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

chrome-browser-iconBösartige Erweiterungen von Google Chrome entfernen:

AppleJeus Hintertür bezogene Google Chrome Zusätze entfernen:

removing malicious google chrome extensions step 1

Öffnen Sie Google Chrome und klicken Sie auf das "Chrome Menü" (drei horizontale Linien) Symbol, das sich in der rechten oberen Ecke des Browserfensters befindet. Vom Klappmenü wählen Sie "Mehr Hilfsmittel" und wählen Sie "Erweiterungen".

removing malicious Google Chrome extensions step 2

Im "Erweiterungen" Fenster, suchen Sie nach allen kürzlich installierten, versächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Papierkorb" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von Ihrem Google Chrome Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
AppleJeus Hintertür QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für AppleJeus Hintertür auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Mac-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Mac herunterladen

Plattform: macOS

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.