Istruzioni per la rimozione del malware ChromeLoader
Scitto da Tomas Meskauskas il
Cos'è ChromeLoader?
ChromeLoader è stato per primo analizzato da analyzed by x3ph, e successivamente nominato dai ricercatori di G-Data come Choziosi loader. Questo malware è progettato per installare estensioni dannose sui browser. Attualmente sono state rilevate due varianti distinte di ChromeLoader, una destinata ai sistemi operativi Windows e l'altra ai sistemi operativi Mac.
È interessante notare che questosoftware dannoso è stato attivamente diffuso da Twitter sotto forma di codici QR che promuovono software piratato (soprattutto videogiochi) e media (film/TV).
Panoramica del malware ChromeLoader
Come accennato nell'introduzione, ChromeLoader ha lo scopo di installare estensioni dannose sui browser. La catena di infezione osservata è iniziata con i Tweet (post Twitter) che pubblicizzavano contenuti piratati da codici QR (presentati in formto di meme) che ha indotto le vittime a scaricare dei file ISO.
I ricercatori di G-Data hanno eseguito un'analisi approfondita di questo caricatore e dell'estensione dannosa. La loro ricerca ha scoperto che il file ISO è costituito da due componenti: "_meta.txt" e "downloader.exe", il primo contiene lo script PowerShell mentre quest'ultimo viene utilizzato per decrittografarlo.
PowerShell crea un'attività denominata "ChromeTask" (può variare), che dovrebbe essere eseguita ogni dieci minuti. Lo script PowerShell scarica anche l'estensione dannosa del browser Google Chrome "archive.zip". Tuttavia, a causa della ripetizione delle attività, alcune vittime di questo malware hanno segnalato che i loro browser Chrome si chiudono continuamente (che è una svista che probabilmente incoraggia un rilevamento più rapido di ChromeLoader).
È interessante notare che "downloader.exe" potrebbe mostrare agli utenti un avviso che indica che il sistema operativo è incompatibile con il software.
La analisi di G-Data sono concentrate sull'estensione del browser dannosa in quanto non era stata studiata a fondo in precedenza. L'estensione di Chrome è fortemente offuscata, il che complica l'analisi.
Questo software utilizza tecniche di persistenza; in particolare, nega l'accesso all'elenco delle estensioni di Google Chrome ("chrome://extensions/") reindirizzando gli utenti alle impostazioni generali ("chrome://settings"), impedendo loro di rimuovere l'estensione dannosa.
Sono state rivelate le funzionalità dell'estensione di Chrome come attività di adware e browser hijacker. In altre parole, questo malware mira a visualizzare pubblicità ingannevole/dannosa e modificare le impostazioni del browser per causare reindirizzamenti a motori di ricerca falsi (potenzialmente concludendo con quelli legittimi come Google, Yahoo, Bing, ecc.).
L'uso di PowerShell e l'offuscamento esteso è raro per adware e browser hijacker, ma è standard per programmi di furto di informazioni, spyware e altri malware. Tuttavia, non è improbabile che ChromeLoader sia ancora in fase di sviluppo e verrà aggiornato con funzionalità dannose aggiuntive. Indipendentemente da ciò, ChromeLoader rappresenta ancora minacce significative nella sua forma attuale.
La ricerca fatta da Colin Cowie ha determinato che la versione Mac di ChromeLoader funziona in modo simile alla variante Windows (ovvero, mostra annunci, provoca reindirizzamenti). Ciò che è degno di nota di questa versione è che può installare estensioni dannose sia sui browser Google Chrome che Safari.
Se sospetti che il tuo dispositivo sia infetto da malware ChromeLoader, ti consigliamo vivamente di utilizzare un antivirus per rimuoverlo immediatamente.
| Nome | ChromeLoader virus |
| Tipo di minaccia | Annunci indesiderati, annunci pop-up, reindirizzamenti indesiderati |
| Nomi rilevati (ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.98155), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft ( Trojan:MSIL/Tnega!mclg), Elenco completo dei rilevamenti (VirusTotal) |
| Nomi rilevati (EXE con ISO) | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.38585118), ESET-NOD32 (MSIL/Agent.VBQ), Kaspersky (HEUR:Trojan.MSIL.Agent.gen), Microsoft (Trojan: Win32/Tnega!ml), Elenco completo dei rilevamenti (VirusTotal) |
| Nomi rilevati (variante Mac) | Avast (MacOS:Agent-TJ [Trj]), Combo Cleaner (Adware.MAC.Chropex.B), GData (Adware.MAC.Chropex.B), Kaspersky (Non un virus:HEUR:AdWare.OSX.Agent .ag), Elenco completo dei rilevamenti (VirusTotal) |
| Sintomi | Vedere annunci pubblicitari non provenienti dai siti che stai navigando. Annunci pop-up invadenti. Diminuzione della velocità di navigazione in Internet. Impostazioni manipolate del browser Internet. Gli utenti sono costretti a visitare il sito Web del dirottatore e cercare in Internet utilizzando i loro motori di ricerca. |
| Metodi distributivi | Annunci pop-up ingannevoli, false affermazioni all'interno di siti Web visitati, applicazioni potenzialmente indesiderate (adware) |
| Danni | Diminuzione delle prestazioni del computer, monitoraggio del browser: problemi di privacy, possibili infezioni da malware aggiuntive. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di adware e browser hijacker
ChromeLoader ha funzionalità da software supportato dalla pubblicità e dirottatore del browser. In genere, i programmi all'interno delle classificazioni di adware/browser hijacker non utilizzano tecniche così sofisticate come ChromeLoader (il che potrebbe significare che questo malware è destinato ad avere funzionalità dannose aggiuntive come il furto di dati, lo spionaggio, ecc.).
To Go Web, Keep Secure Search, Tap togo sono alcuni esempi di browser hijacker regolari che abbiamo analizzato, e fake Google Translate extension, Files Download Now, Down Assist - di adware.
Si noti che, indipendentemente dal modo in cui opera un programma dannoso, la sua presenza su un sistema mette in pericolo la sicurezza del dispositivo/utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.
In che modo ChromeLoader si è infiltrato nel mio computer?
Come descritto in precedenza, ChromeLoader è stato notevolmente diffuso attraverso Tweet che promuovono contenuti illegali (ad esempio, videogiochi piratati, software di editing, film, serie TV, ecc.) tramite codici QR progettati per indurre gli utenti a scaricare un file ISO infetto.
Tuttavia, è possibile che il malware ChromeLoader sia distribuito su altre piattaforme e potenzialmente anche sotto diverse spoglie.
Il malware viene comunemente diffuso utilizzando varie tecniche; phishing ed ingegneria sociale sono ampiamente utilizzati nella distribuzione di software dannoso. I file virulenti possono essere archivi, eseguibili, documenti PDF e Microsoft Office, JavaScript, ecc. Una volta aperto un file dannoso, viene avviata la catena di infezione.
I metodi di proliferazione malware più comuni includono: download drive-by (invisibili e ingannevoli), e-mail/messaggi di spam, truffe online, siti Web di download gratuiti e di terze parti, reti di condivisione P2P (ad es. client Torrent, eMule, ecc.), illegale strumenti di attivazione del programma ("crack"), falsi aggiornamenti e malvertising.
Come evitare l'installazione di malware?
Consigliamo vivamente di prestare attenzione durante la navigazione poiché i contenuti illegittimi e dannosi tendono ad apparire innocui. Inoltre, ti consigliamo di scaricare solo da fonti ufficiali e verificate.
È altrettanto importante attivare e aggiornare il software utilizzando funzioni/strumenti forniti da sviluppatori originali, poiché quelli acquisiti da terze parti possono contenere malware.
Un'altra raccomandazione è di avvicinarsi alla posta in arrivo con attenzione. Gli allegati e i collegamenti trovati in e-mail e messaggi sospetti/irrilevanti - non devono essere aperti - poiché ciò può causare un'infezione del sistema.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Screenshot del contenuto del file ISO di ChromeLoader:
Messaggio di errore visualizzato durante l'esecuzione di ChromeLoader:
Menu:
- Cos'è ChromeLoader?
- STEP 1. Disinstallare le applicazioni adware utilizzando il Pannello di controllo.
- STEP 2. Rimuovere i plug-in canaglia da Google Chrome.
- STEP 3. Rimuovere le estensioni di tipo adware da Mozilla Firefox.
- STEP 4. Rimuovere le estensioni dannose da Safari.
- STEP 5. Rimuovere i plug-in canaglia da Microsoft Edge.
Come rimuovere un adware:
Windows 10:
Pulsante destro del mouse nell'angolo in basso a sinistra dello schermo, nel menu di accesso rapido selezionare Pannello di controllo. Nella finestra aperta scegliere Disinstalla un programma.
Windows 7:
Fare clic su Start ("Windows Logo" nell'angolo in basso a sinistra del desktop), scegli Pannello di controllo. Individuare Programmi e fare clic su Disinstalla un programma.
macOS (OSX):
Fare clic su Finder, nella finestra aperta selezionare Applicazioni. Trascinare l'applicazione dalla cartella Applicazioni nel Cestino (che si trova nella Dock), quindi fare clic con il tasto destro sull'icona del Cestino e selezionare Svuota cestino.
Nella finestra di disinstallazione programmi: cercare ogni programma sospetto recentemente installato, selezionare queste voci e fare clic su "Disinstalla" o "Rimuovi".
Dopo la disinstallazione, eseguire la scansione del computer alla ricerca di eventuali componenti indesiderati rimasti o infezioni di malware possibili con Il miglior software anti-malware.
Rimuovere l'adware dai browser Internet:
Video che mostra come rimuovere i componenti aggiuntivi del browser indesiderati:
Rimuovere componenti aggiuntivi malevoli da Google Chrome:
Fare clic sull'icona di menu Chrome 
(in alto a destra di Google Chrome), selezionare "Strumenti" e fare clic su "Estensioni". Individuare ogni programma sospetto, selezionare queste voci e fare clic sull'icona del cestino.
Metodo opzionale:
Se continuate ad avere problemi con la rimozione di chromeloader virus, resettate le impostazioni di Google Chrome. Cliccate sull'icona menu du Chrome (nell'angolo in alto a destra di Google Chrome) e selezionate Impostazioni. Scendete fino in fondo. Cliccate sul link Avanzate….
Scendete fino in fondo alla pagina e cliccate su Ripristina (Ripristina le impostazioni originali).
Nella finestra che si aprirà, confermate che volete ripristinare Google Chrome cliccando su Ripristina.
Rimuovere plug-ins canaglia da Mozilla Firefox:
Fai clic sul menu Firefox
(nell'angolo in alto a della finestra principale), selezionare "componenti aggiuntivi". Clicca su "Estensioni", nella finestra che si apre, cercare e rimuovere ogni plug in sospetto recentemente installato.
Metodo Opzionale:
Gli utenti di computer che hanno problemi con la rimozione di chromeloader virus, possono ripristinare le impostazioni di Mozilla Firefox.
Apri Mozilla Firefox, in alto a destra della finestra principale fare clic sul menu Firefox, nel menu aperto fare clic sull'icona Open Menu Guida, 
Selezionare Informazioni Risoluzione dei problemi.
nella finestra aperta fare clic sul pulsante Ripristina Firefox.
Nella finestra aperta confermare che si desidera ripristinare le impostazioni di Mozilla Firefox predefinite facendo clic sul pulsante Reset.
Rimuovi estensioni malevole da Safari:
Assicurati che il tuo browser Safari sia attivo e fai clic sul menu Safari, quindi selezionare Preferenze ...
Nella finestra delle preferenze selezionare la scheda Estensioni. Cercare eventuali estensioni sospette recentemente installate e disinstallarle.
Nella finestra delle preferenze selezionare la scheda Generale e fare in modo che la tua home page sia impostata su un URL preferito, se alterato da un dirottatore del browser - cambiarlo.
Nella finestra delle preferenze selezionare Ricerca e assicurarsi che il motore di ricerca Internet preferito sia selezionato.
Metodo opzionale:
Assicurati che il tuo browser Safari sia attivo e clicca sul menu Safari. Dal menu a discesa selezionare Cancella cronologia e dati Sito...
Nella finestra aperta selezionare tutta la cronologia e fare clic sul pulsante Cancella cronologia.
Rimuovi estensioni dannose da Microsoft Edge:
Fai clic sull'icona del menu Edge 
(nell'angolo in alto a destra di Microsoft Edge), seleziona "Estensioni". Individua eventuali componenti aggiuntivi sospetti installati di recente e rimuovili.
Modifica la tua home page e le nuove impostazioni di ogni scheda:
Fai clic selezionato dal menu Edge (nell'angolo in alto a destra di Microsoft Edge), seleziona "Impostazioni". Nella sezione "All'avvio" cerca il nome del browser hijacker e fai clic su "Disabilita".
Modifica il tuo motore di ricerca Internet predefinito:
Per modificare il motore di ricerca predefinito in Microsoft Edge: Fai clic sull'icona del menu Edge (nell'angolo in alto a destra di Microsoft Edge), seleziona "Privacy e servizi", scorri fino alla fine della pagina e seleziona "Barra degli indirizzi". Nella sezione "Motori di ricerca utilizzati nella barra degli indirizzi" cerca il nome del motore di ricerca Internet indesiderato, quando si trova fare clic sul pulsante "Disabilita" vicino ad esso. In alternativa è possibile fare clic su "Gestisci motori di ricerca", nel menu aperto cercare un motore di ricerca Internet indesiderato. Fai clic sull'icona a puzzle 
vicino ad esso e selezionare "Disabilita".
Metodo opzionale:
Se i problemi con la rimozione di chromeloader virus persistono, ripristinare le impostazioni del browser Microsoft Edge. Fai clic sull'icona del menu Edge (nell'angolo in alto a destra di Microsoft Edge) e selezionare Impostazioni.
Nel menu delle impostazioni aperto selezionare Ripristina impostazioni.
Seleziona Ripristina le impostazioni ai loro valori predefiniti. Nella finestra aperta, confermare che si desidera ripristinare le impostazioni predefinite di Microsoft Edge facendo clic sul pulsante Ripristina.
- ISe questo non ha aiutato, segui queste alternative istruzioni che spiegano come ripristinare il browser Microsoft Edge.
Sommario:
Un browser hijacker è un tipo di adware che altera le impostazioni del browser Internet dell'utente, modificando il proprio motore di ricerca e homepage di default di Internet in qualche sito indesiderato. Più comunemente questo tipo di adware si infiltra nel sistema operativo dell'utente attraverso il download di software gratuiti. Se il download è gestito da un download client assicuratevi di scegliere di installare le barre degli strumenti pubblicizzate o applicazioni che cercano di cambiare il motore di ricerca Internet e homepage predefinita.
Assistenza alla rimozione:
Se si verificano problemi durante il tentativo di rimozione di chromeloader virus dal tuo browser, chiedere assistenza nel nostro forum rimozione malware.
Lascia un commento:
Se disponi di ulteriori informazioni su chromeloader virus o la sua rimozione ti invitiamo a condividere la tua conoscenza nella sezione commenti qui sotto.
Fonte: https://www.pcrisk.com/removal-guides/23957-chromeloader-malware
Domande Frequenti (FAQ)
Qual è lo scopo del malware ChromeLoader?
ChromeLoader è progettato per installare estensioni dannose sui browser delle vittime. Al momento della ricerca, l'estensione del browser di ChromeLoader mostrava qualità di adware e dirottatore del browser. In altre parole, mostrava annunci e modificava le impostazioni del browser per causare reindirizzamenti. A causa della versione piuttosto complicata di ChromeLoader, è possibile che questo programma dannoso venga aggiornato con funzionalità più dannose (ad es. estrazione di dati sensibili, registrazione di informazioni, ecc.).
Quali sono le minacce poste dalle infezioni da adware e browser hijacker?
I dirottatori del browser alterano le impostazioni del browser (e possono utilizzare tattiche di garanzia della persistenza per impedire agli utenti di accedervi/modificarle) per causare reindirizzamenti a motori di ricerca falsi. I reindirizzamenti possono verificarsi quando vengono aperte nuove schede/finestre del browser, le query di ricerca vengono digitate nella barra degli URL, ecc. I motori di ricerca illegittimi in genere raccolgono informazioni sui loro visitatori. Poiché questi siti Web sono raramente in grado di generare risultati di ricerca, reindirizzano a quelli legittimi (ad es., Google, Bing, Yahoo, ecc.).
L'adware è progettato per visualizzare annunci pubblicitari sui siti Web visitati e/o altre interfacce; alcuni tipi possono anche forzare l'apertura di siti e raccogliere dati privati. È noto che gli annunci pubblicati promuovono contenuti ingannevoli/dannosi e alcuni possono effettuare download/installazioni furtivi (se cliccati).
Pertanto, la presenza di questi programmi su un dispositivo può portare a infezioni del sistema, gravi problemi di privacy, perdite finanziarie e furto di identità.
In che modo il malware ChromeLoader si è infiltrato nel mio computer?
ChromeLoader è stato attivamente diffuso attraverso post di Twitter che promuovono programmi/media piratati tramite codici QR che inducono gli utenti a installare un file ISO virulento. In generale, il malware si diffonde principalmente attraverso download drive-by, truffe online, e-mail e messaggi di spam, fonti di download non affidabili (ad es. siti Web non ufficiali e freeware, reti di condivisione peer-to-peer, ecc.), attivazione illegale di programmi ("cracking ") strumenti, falsi aggiornamenti e annunci dannosi.
Combo Cleaner mi proteggerà dai malware?
Sì, Combo Cleaner è in grado di rilevare ed eliminare quasi tutte le infezioni malware conosciute. Tuttavia, è essenziale eseguire una scansione completa del sistema, poiché i programmi dannosi di fascia alta di solito si nascondono in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione