BLADABINDI Backdoor: Wie entferne ich Viren?

Bladabindi Backdoor
Bladabindi, Bladabindi backdoor
Written by Robert Bailey

Was ist Backdoor Bladabindi?

Backdoor Bladabindi injiziert schädliche Payloads in Windows. Es lädt heimlich verschiedene Malware herunter und installiert sie auf Ihrem System.

BLADABINDI lädt heimlich Malware herunter und installiert sie auf betroffenen Systemen. Zum Zeitpunkt der Recherche wurde beobachtet, dass BLADABINDI von Windscribe VPN-Installationsprogrammen verbreitet und mit diesen gebündelt wird.

„Bündelung“ ist der Begriff, der verwendet wird, um eine irreführende Marketingtechnik zu beschreiben, bei der gewöhnliche Software mit unerwünschten oder böswilligen Zusätzen verpackt wird. Beachten Sie, dass Windscribe ein legitimes Unternehmen für Cybersicherheit und Datenschutz ist, das Tools anbietet, die auf das Gerät und die Online-Sicherheit/den Datenschutz ausgerichtet sind.

Die BLADABINDI-Hintertür, die mit der oben genannten VPN-Anwendung gebündelt ist, wurde nicht über offizielle Kanäle vertrieben (z. B. die Website von Windscribe, Google oder Apple Stores) – Cyberkriminelle förderten die modifizierten Installationsprogramme über inoffizielle Downloadquellen von Drittanbietern.

Robert Bailey
Robert Bailey
IT Security Expert

It is better to prevent, than repair and repent!

When we talk about the intrusion of unfamiliar programs into your computer’s work, the proverb “Forewarned is forearmed” describes the situation as accurately as possible. Gridinsoft Anti-Malware is exactly the tool that is always useful to have in your armory: fast, efficient, up-to-date. It is appropriate to use it as an emergency help at the slightest suspicion of infection.
Anti-Malware
Gridinsoft Anti-Malware 6-day trial available.
EULA | Privacy Policy | Gridinsoft

@topcybersecuritySubscribe to our Telegram channel to be the first to know about news and our exclusive materials on information security.

In den meisten Fällen wird Backdoor Bladabindi seine Betroffenen anweisen, eine Geldüberweisung zu starten, um den Änderungen entgegenzuwirken, die die Trojaner-Infektion in das Gerät des Betroffenen eingebracht hat.

Backdoor Bladabindi Zusammenfassung

Diese Modifikationen können wie folgt sein:

  • Extrahieren von ausführbarem Code. Cyberkriminelle verwenden häufig binäre Packer, um zu verhindern, dass der bösartige Code von Malware-Analysten zurückentwickelt wird. Ein Packer ist ein Tool, das das Format einer bösartigen Datei komprimiert, verschlüsselt und modifiziert. Manchmal können Packer für legitime Zwecke verwendet werden, beispielsweise um ein Programm vor dem Knacken oder Kopieren zu schützen.
  • Injektion (zwischen Prozessen);
  • Injektion (Prozess Aushöhlen);
  • Erzeugt RWX-Speicher. Es gibt einen Sicherheitstrick mit Speicherbereichen, der es einem Angreifer ermöglicht, einen Puffer mit einem Shellcode zu füllen und ihn dann auszuführen. Das Füllen eines Puffers mit Shellcode ist keine große Sache, es sind nur Daten. Das Problem tritt auf, wenn der Angreifer den Befehlszeiger (EIP) kontrollieren kann, normalerweise indem er den Stapelrahmen einer Funktion durch einen stapelbasierten Pufferüberlauf beschädigt und dann den Ausführungsfluss ändert, indem er diesen Zeiger der Adresse des Shellcodes zuweist.
  • Die Binärdatei enthält wahrscheinlich verschlüsselte oder komprimierte Daten. In diesem Fall ist die Verschlüsselung eine Möglichkeit, den Virencode vor Antivirenprogrammen und Virenanalysten zu verbergen.
  • Einen Prozess ausgeführt und Code hineingeschleust, wahrscheinlich während des Entpackens;
  • Netzwerkaktivität erkannt, aber nicht in API-Protokollen ausgedrückt. Microsoft hat eine API-Lösung direkt in sein Windows-Betriebssystem integriert, die die Netzwerkaktivität für alle Apps und Programme anzeigt, die in den letzten 30 Jahren auf dem Computer ausgeführt wurden. Tage. Diese Malware verbirgt Netzwerkaktivitäten.
  • Verschlüsseln der auf der Festplatte des Opfers befindlichen Dokumente – damit der Betroffene die Informationen nicht mehr verwenden kann;
  • Verhinderung des regulären Zugriffs auf den Arbeitsplatz des Betroffenen. Dies ist das typische Verhalten eines Virus namens Locker. Es blockiert den Zugriff auf den Computer, bis das Opfer das Lösegeld bezahlt.

Backdoor Bladabindi

Die wahrscheinlichsten Wege, wie die Bladabindi-Hintertür in Netzwerke eingeschleust wird, sind:

  • Durch Phishing-E-Mails;
  • Als Folge davon, dass der Kunde auf eine Ressource gelangt, die ein bösartiges Softwareprogramm hostet;

Sobald der Trojaner erfolgreich injiziert wurde, wird er entweder die Daten auf dem Computer des Opfers verschlüsseln oder verhindern, dass das Gerät richtig funktioniert – und zusätzlich eine Lösegeldforderung hinterlegen, die darauf hinweist, dass die Betroffenen die Zahlung für die Funktion beeinflussen müssen der Entschlüsselung der Aufzeichnungen oder Wiederherstellung des Dokumentensystems in den ursprünglichen Zustand. In den meisten Fällen taucht der Lösegeldschein auf, wenn der Client den COMPUTER neu startet, nachdem das System bereits beschädigt wurde.

Bladabindi Backdoor infiziert Netzwerke mit Ransomware.

In verschiedenen Ecken der Welt expandiert Backdoor Bladabindi sprunghaft. Die Lösegeldforderungen und Erpressungsmethoden können jedoch je nach regionaler (regionaler) Einrichtung variieren. Die Lösegeldscheine und auch Methoden zur Erpressung des Lösegelds können sich je nach bestimmten lokalen (lokalen) Einstellungen unterscheiden.

Ransomware-Injektion

Zum Beispiel:

    Fehlerhaft informiert über nicht lizenziertes Softwareprogramm.

    In bestimmten Bereichen berichten die Trojaner normalerweise fälschlicherweise, dass sie einige nicht lizenzierte Anwendungen entdeckt haben, die auf dem Gerät des Opfers aktiviert sind. Danach wird der Kunde aufgefordert, das Lösegeld zu zahlen.

    Fehlerhafte Angaben zu verbotenem Material.

    In Ländern, in denen Softwarepiraterie viel weniger verbreitet ist, ist dieser Ansatz für Cyber-Betrug nicht so effizient. Darüber hinaus kann die Backdoor Bladabindi-Popup-Warnung fälschlicherweise angeben, von einer Polizeieinrichtung zu stammen, und melden, dass sie Kinderpornografie oder andere verbotene Daten auf dem Tool gefunden hat.

    Die Backdoor-Bladabindi-Popup-Warnung kann fälschlicherweise angeben, von einer Strafverfolgungsbehörde zu stammen, und wird sicherlich melden, Kinderpornografie oder andere verbotene Daten auf dem Gadget gefunden zu haben. In ähnlicher Weise fordert die Warnung den Kunden auf, das Lösegeld zu zahlen.

Technische Details

Dateiinformation:

crc32: 48EBD4D7
md5: 613d08e59eebeb2be0a35a282e64b485
name: chi.exe
sha1: bb1d049c88f17bcb391cccde2b6f4eb011066368
sha256: 465e53740bc056a324b589f99a615220fd3d261eeda04362f13a6a011818198c
sha512: 6205eaa1ddd390b4ee32c2be09bec83a3b5806717520a3b6923ba6d1a3055d7ebf9bdfb16d420492678342d42dd5b84986d89a7db3d8cb33de7b926459bb8018
ssdeep: 12288:I7c+eRjMP3H+Ol2RmhS3bgQUilgT+BKI+Zzw8a1qn0g4eWek/drOAtTbbAnV+Sp:vaPBl2RmhS3bgdGM+B/+Zzw8kHbeWek
Typ: Ausführbare PE32-Datei (GUI) Intel 80386 Mono/.Net-Assembly für MS Windows

Versions Information:

Übersetzung: 0x0000 0x04b0
ImpressumUrheberrecht: Copyright xa9 2017
Montageversion: 1.0.0.0
Interner Name: dvrAi.exe
Dateiversion: 1.0.0.0
Name der Firma:
LegalTrademarks:
Bemerkungen:
Produktname: CalKul
Produktversion: 1.0.0.0
Dateibeschreibung: CalKul
Ursprünglicher Dateiname: dvrAi.exe

Backdoor Bladabindi auch bekannt als:

GridinSoftTrojan.Ransom.Gen
DrWebTrojan.Siggen9.18688
MicroWorld-eScanTrojan.GenericKD.33527105
FireEyeGeneric.mg.613d08e59eebeb2b
ALYacTrojan.GenericKD.33527105
MalwarebytesBackdoor.Bladabindi
AegisLabTrojan.MSIL.Racealer.i!c
SangforMalware
K7AntiVirusTrojan ( 005620d11 )
BitDefenderTrojan.GenericKD.33527105
K7GWTrojan ( 005620d11 )
TrendMicroBackdoor.MSIL.BLADABINDI.THCAABO
BitDefenderThetaGen:NN.ZemsilF.34100.Rm0@aSNP4Kg
F-ProtW32/MSIL_Kryptik.KH.gen!Eldorado
SymantecML.Attribute.HighConfidence
APEXMalicious
Paloaltogeneric.ml
GDataTrojan.GenericKD.33527105
KasperskyHEUR:Trojan-PSW.MSIL.Racealer.gen
AlibabaBackdoor:MSIL/Bladabindi.135975df
NANO-AntivirusTrojan.Win32.Racealer.hessbi
ViRobotTrojan.Win32.Z.Racealer.714240
AvastWin32:RansomX-gen [Ransom]
Ad-AwareTrojan.GenericKD.33527105
SophosMal/Generic-S
ComodoMalware@#1ycdfe1ej5b0r
F-SecureTrojan.TR/Kryptik.kvtsw
Invinceaheuristic
McAfee-GW-EditionBehavesLike.Win32.Generic.jc
Trapminemalicious.high.ml.score
EmsisoftTrojan.GenericKD.33527105 (B)
CyrenW32/MSIL_Kryptik.KH.gen!Eldorado
MaxSecureTrojan.Malware.300983.susgen
AviraTR/Kryptik.kvtsw
Endgamemalicious (high confidence)
ArcabitTrojan.Generic.D1FF9541
ZoneAlarmHEUR:Trojan-PSW.MSIL.Racealer.gen
MicrosoftBackdoor:MSIL/Bladabindi.MSD!MTB
AhnLab-V3Malware/Win32.RL_Generic.C4007463
McAfeeArtemis!613D08E59EEB
MAXmalware (ai score=89)
VBA32TScope.Trojan.MSIL
CylanceUnsafe
ESET-NOD32a variant of MSIL/Kryptik.UZD
TrendMicro-HouseCallBackdoor.MSIL.BLADABINDI.THCAABO
RisingBackdoor.Bladabindi!8.B1F (CLOUD)
YandexTrojan.Kryptik!HllvHUCbcO4
IkarusTrojan-Spy.Keylogger.AgentTesla
FortinetMSIL/GenKryptik.EFXB!tr
WebrootW32.Trojan.Gen
AVGWin32:RansomX-gen [Ransom]
PandaTrj/GdSda.A
CrowdStrikewin/malicious_confidence_90% (W)
Qihoo-360Generic/Trojan.PSW.9f6

Wie entferne ich Bladabindi?

Unerwünschte Anwendungen sind oft mit anderen Viren und Spyware einhergegangen. Diese Bedrohungen können Kontoanmeldeinformationen stehlen oder Ihre Dokumente für Lösegeld verschlüsseln.
Gründe, warum ich GridinSoft empfehlen würde1

Das ist eine hervorragende Möglichkeit, Bedrohungen zu erkennen und zu entfernen – mit Gridinsoft Anti-Malware. Dieses Programm scannt Ihren PC, findet und neutralisiert alle verdächtigen Prozesse.2.

Laden Sie GridinSoft Anti-Malware herunter.

Sie können GridinSoft Anti-Malware herunterladen, indem Sie auf die Schaltfläche unten klicken:

Führen Sie die Setup-Datei aus.

Wenn die Setup-Datei vollständig heruntergeladen ist, doppelklicken Sie auf die Datei setup-antimalware-fix.exe, um GridinSoft Anti-Malware auf Ihrem System zu installieren.

Führen Sie Setup.exe aus

Die Benutzerkontensteuerung fragt Sie, ob Sie GridinSoft Anti-Malware erlauben möchten, Änderungen an Ihrem Gerät vorzunehmen. Sie sollten also auf „Ja“ klicken, um mit der Installation fortzufahren.

GridinSoft Anti-Malware-Setup

Drücken Sie die Schaltfläche „Installieren“.

GridinSoft Anti-Malware-Installation

Nach der Installation wird Anti-Malware automatisch ausgeführt.

GridinSoft Anti-Malware-Begrüßungsbildschirm

Warten Sie, bis der Anti-Malware-Scan abgeschlossen ist.

GridinSoft Anti-Malware scannt Ihr System automatisch nach Bladabindi-Dateien und anderen bösartigen Programmen. Dieser Vorgang kann 20-30 Minuten dauern, daher schlage ich vor, dass Sie den Status des Scanvorgangs regelmäßig überprüfen.

GridinSoft Anti-Malware-Scannen

Klicken Sie auf „Jetzt reinigen“.

Wenn der Scan abgeschlossen ist, sehen Sie die Liste der Infektionen, die GridinSoft Anti-Malware erkannt hat. Um sie zu entfernen, klicken Sie auf die Schaltfläche „Jetzt reinigen“ in der rechten Ecke.

GridinSoft Anti-Malware-Scan-Ergebnis

Sind Sie geschützt?

GridinSoft Anti-Malware scannt und bereinigt Ihren PC während der Testphase kostenlos. Die kostenlose Version bietet Echtzeitschutz für die ersten 2 Tage. Wenn Sie jederzeit vollständig geschützt sein möchten – ich kann Ihnen den Kauf einer Vollversion empfehlen:

Vollversion von GridinSoft Anti-Malware

Vollversion von GridinSoft Anti-Malware

Wenn Ihnen der Leitfaden nicht hilft, Bladabindi zu entfernen, können Sie mich jederzeit in den Kommentaren um Hilfe bitten.

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

References

  1. GridinSoft Anti-Malware Review von der HowToFix-Seite: https://howtofix.guide/gridinsoft -Anti-Malware/
  2. Weitere Informationen zu GridinSoft-Produkten: https://gridinsoft.com/products/

Englisch Französisch

About the author

Robert Bailey

Security Engineer. Interested in malware, reverse engineering, white ethical hacking. I like coding, travelling and bikes.

Leave a Reply

Sending

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.