Come rimuovere SnappyClient dai dispositivi infetti
TrojanConosciuto anche come: Trojan di amministrazione remota SnappyClient
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è SnappyClient?
SnappyClient è un malware distribuito tramite HijackLoader. È scritto in C++ e utilizzato dai criminali informatici per controllare da remoto i dispositivi infetti (come Trojan di amministrazione remota) e rubare dati. Una volta che un sistema è infetto, SnappyClient può comunicare con un server C2 per ricevere istruzioni.
Panoramica di SnappyClient
Per evitare il rilevamento, SnappyClient modifica il funzionamento dei controlli di sicurezza di Windows in modo che il malware non venga individuato. Lo fa interferendo con AMSI, il sistema che analizza il codice alla ricerca di minacce. Invece di permettere ad AMSI di segnalare la minaccia, lo costringe a farla apparire sicura.
Inoltre, SnappyClient dispone di un elenco interno di impostazioni che determina come viene eseguito e dove archiviare i dati. Queste impostazioni controllano quali dati ruba, dove li salva, come rimane sul dispositivo e se deve fermarsi o continuare a funzionare. Utilizza anche queste impostazioni per mantenere l'attività dopo un riavvio del sistema (persistenza).
In aggiunta, il malware scarica due file crittografati dal server dell'aggressore. Questi file vengono archiviati in modo nascosto e crittografato e vengono utilizzati per controllare ciò che il malware fa sul dispositivo infetto.
Funzionalità di SnappyClient
SnappyClient è in grado di acquisire immagini dello schermo della vittima e inviarle ai criminali informatici. Può anche visualizzare e gestire i processi in esecuzione sul computer infetto. SnappyClient può elencare i processi attivi, sospenderli o riprenderli, o persino terminarli completamente, e può iniettare codice dannoso in processi legittimi in modo da poter funzionare nascosto nel sistema.
Inoltre, SnappyClient dispone di una funzionalità che consente di gestire file e cartelle sul computer infetto. Può elencare i contenuti delle directory, copiare, spostare, rinominare, eliminare o creare file e cartelle, e persino comprimere o estrarre archivi (inclusi quelli protetti da password). Può anche eseguire file e verificare i collegamenti.
Il malware può anche rubare informazioni sensibili dal computer infetto. Può inviare all'aggressore i dati del keylogger, che registra tutto ciò che l'utente digita. Può anche rubare le password salvate nel browser (dati di accesso), i cookie del browser, la cronologia, i segnalibri, le informazioni di sessione e i dati dalle estensioni del browser. Oltre a prendere di mira i browser, SnappyClient può acquisire dati da altri software installati.
Inoltre, SnappyClient include una funzionalità che gli consente di cercare e rubare file (e cartelle) dal sistema e dalle applicazioni installate. Gli attori delle minacce possono prendere di mira dati specifici impostando filtri per nomi di file o percorsi. SnappyClient può anche scaricare file da un server remoto e salvarli sul computer infetto.
Il malware può anche eseguire file in diversi modi, inclusa l'esecuzione normale, l'esecuzione di file DLL o l'estrazione e l'esecuzione di file dagli archivi. Può anche controllare come il file viene avviato, incluse le sue impostazioni, la directory e le opzioni della riga di comando. In alcuni casi, può tentare di aggirare la sicurezza di Windows (UAC) per eseguire file con autorizzazioni di livello amministratore.
Gli operatori possono anche utilizzare SnappyClient per aprire una sessione del browser nascosta sul computer della vittima per visualizzare e controllare segretamente l'attività web. Inoltre, possono utilizzare un'interfaccia a riga di comando per eseguire comandi sul sistema infetto. Un'altra capacità di SnappyClient è la modifica dei contenuti degli appunti. Questo strumento viene spesso utilizzato per inserire portafogli crittografici appartenenti ai criminali informatici.
Infine, SnappyClient include una funzionalità che consente di visualizzare falsi pop-up o aprire finestre del browser nascoste sul dispositivo della vittima. Può visualizzare una finestra di messaggio con testo personalizzato o creare una finestra che carica contenuti web al suo interno.
Applicazioni prese di mira
È noto che SnappyClient può rubare informazioni dai seguenti browser web: 360 Browser, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi e Waterfox. Prende di mira anche estensioni per portafogli di criptovalute come Coinbase, Metamask, Phantom, TronLink e TrustWallet.
Inoltre, può rubare informazioni da Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite e Wasabi, che sono portafogli software, strumenti per portafogli hardware e altri strumenti legati alle criptovalute.
| Nome | Trojan di amministrazione remota SnappyClient |
| Tipo Di Minaccia | Trojan ad accesso remoto (RAT) |
| Nomi Di Rilevamento | Avast (Win32:Agent-BDPI [Trj]), Combo Cleaner (Gen:Variant.Application.Fragtor.13960), ESET-NOD32 (Win32/Spy.Agent.QOZ Trojan), Kaspersky (HEUR:Trojan.Win32.Penguish.gen), Microsoft (Trojan:Win32/SnappyClient.CA!MTB), Elenco completo (VirusTotal) |
| Sintomi | I RAT sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, pertanto nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Metodi Di Distribuzione | Siti web falsi, messaggi inviati tramite social media, HijackLoader, ClickFix |
| Danni | Password e informazioni bancarie rubate, furto di identità, il computer della vittima aggiunto a una botnet, infezioni aggiuntive, perdite finanziarie, dirottamento degli account. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
Nel complesso, SnappyClient è un malware avanzato progettato per assumere il controllo di un sistema infetto rimanendo nascosto. Consente ai criminali informatici di monitorare la vittima, rubare informazioni sensibili, manipolare file e processi ed eseguire comandi. Gli attacchi di SnappyClient possono causare problemi come il dirottamento degli account, il furto di identità, infezioni aggiuntive, perdite finanziarie e altri problemi.
Come si è infiltrato SnappyClient nel mio computer?
SnappyClient viene distribuito attraverso siti web falsi e trucchi sui social media. Nel primo caso, gli attori delle minacce utilizzano un sito web falso che imita una vera azienda di telecomunicazioni. Quando gli utenti visitano il sito, questo scarica segretamente un file dannoso chiamato HijackLoader sui loro dispositivi.
Se gli utenti eseguono questo file, esso sblocca e inietta SnappyClient. Un altro modo in cui questo malware si diffonde è attraverso post sui social media (come X/Twitter). Gli attori delle minacce condividono link o istruzioni che inducono gli utenti ad attivare un processo di download (a volte utilizzando metodi come ClickFix). Questo porta anche all'esecuzione di HijackLoader, che poi distribuisce SnappyClient.
Come evitare l'installazione di malware?
Gli utenti dovrebbero prestare attenzione alle email o ai messaggi inaspettati, soprattutto se provengono da fonti sconosciute, e non dovrebbero aprire allegati o cliccare su link a meno che non siano sicuri che siano sicuri. È anche importante eseguire regolarmente la scansione del sistema utilizzando un software di sicurezza affidabile.
Gli utenti dovrebbero scaricare software e file solo da siti web ufficiali o store di app affidabili. Annunci sospetti, pop-up e link sconosciuti (soprattutto su siti web non affidabili) dovrebbero essere evitati, e qualsiasi richiesta di consentire notifiche da tali siti dovrebbe sempre essere rifiutata. Inoltre, gli utenti dovrebbero mantenere il sistema operativo e tutte le applicazioni aggiornati.
Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
SCARICA Combo CleanerScaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Menu rapido:
- Cos'è SnappyClient?
- PASSO 1. Rimozione manuale del malware SnappyClient.
- PASSO 2. Verificare se il computer è pulito.
Come rimuovere il malware manualmente?
La rimozione manuale del malware è un compito complicato - di solito è meglio lasciare che programmi antivirus o anti-malware lo facciano automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.
Se desiderate rimuovere il malware manualmente, il primo passo è identificare il nome del malware che state cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:
Se avete controllato l'elenco dei programmi in esecuzione sul vostro computer, ad esempio utilizzando il task manager, e avete identificato un programma che sembra sospetto, dovreste continuare con questi passaggi:
Scaricate un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, le posizioni del Registro di sistema e del file system:
Riavviate il computer in Modalità provvisoria:
Utenti Windows XP e Windows 7: Avviate il computer in Modalità provvisoria. Fate clic su Start, fate clic su Arresta, fate clic su Riavvia, fate clic su OK. Durante il processo di avvio del computer, premete il tasto F8 sulla tastiera più volte fino a quando non vedete il menu Opzioni avanzate di Windows, quindi selezionate Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:
Utenti Windows 8: Avviate Windows 8 in Modalità provvisoria con rete - Andate alla schermata Start di Windows 8, digitate Avanzate, nei risultati di ricerca selezionate Impostazioni. Fate clic su Opzioni di avvio avanzate, nella finestra «Impostazioni generali del PC» aperta, selezionate Avvio avanzato.
Fate clic sul pulsante «Riavvia ora». Il computer si riavvierà nel «Menu delle opzioni di avvio avanzate». Fate clic sul pulsante «Risoluzione dei problemi», quindi fate clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, fate clic su «Impostazioni di avvio».
Fate clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Premete F5 per avviare in Modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:
Utenti Windows 10: Fate clic sul logo di Windows e selezionate l'icona di Alimentazione. Nel menu aperto fate clic su «Riavvia» tenendo premuto il tasto «Maiusc» sulla tastiera. Nella finestra «Scegli un'opzione» fate clic su «Risoluzione dei problemi», quindi selezionate «Opzioni avanzate».
Nel menu delle opzioni avanzate selezionate «Impostazioni di avvio» e fate clic sul pulsante «Riavvia». Nella finestra successiva dovreste fare clic sul tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:
Estraete l'archivio scaricato ed eseguite il file Autoruns.exe.
Nell'applicazione Autoruns, fate clic su «Options» in alto e deselezionate le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, fate clic sull'icona «Refresh».
Controllate l'elenco fornito dall'applicazione Autoruns e individuate il file malware che desiderate eliminare.
Dovreste annotare il suo percorso completo e il nome. Tenete presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase, è molto importante evitare di rimuovere file di sistema. Dopo aver individuato il programma sospetto che desiderate rimuovere, fate clic con il tasto destro del mouse sul suo nome e scegliete «Delete».
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non venga eseguito automaticamente al prossimo avvio del sistema), dovreste cercare il nome del malware sul vostro computer. Assicuratevi di abilitare file e cartelle nascosti prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.
Riavviate il computer in modalità normale. Seguendo questi passaggi dovreste rimuovere qualsiasi malware dal vostro computer. Tenete presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non disponete di queste competenze, lasciate la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in seguito. Per mantenere il vostro computer sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il vostro computer sia privo di infezioni malware, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.
Domande Frequenti (FAQ)
Il mio dispositivo è infettato dal malware SnappyClient, devo formattare il dispositivo di archiviazione per liberarmene?
Una formattazione completa del dispositivo può eliminare completamente il malware, ma cancellerà anche tutti i file archiviati. Prima di compiere questo passo, di solito è più sicuro provare a pulire il sistema con uno strumento affidabile come Combo Cleaner.
Quali sono i problemi più gravi che il malware può causare?
Il malware può consentire ai criminali informatici di accedere a un sistema da remoto, rimuovere o corrompere file essenziali, distribuire payload aggiuntivi ed estrarre informazioni sensibili. Questo può portare a problemi come perdita di dati, dirottamento degli account, frode finanziaria, furto di identità e ulteriori infezioni da malware.
Qual è lo scopo di SnappyClient?
Lo scopo di SnappyClient è dare ai criminali informatici il controllo remoto su un computer infetto al fine di spiare l'utente, rubare dati sensibili e manipolare il sistema. Viene utilizzato per il furto di informazioni (come password, file e dati personali), il monitoraggio del sistema e l'esecuzione di azioni dannose rimanendo nascosto alla vittima.
Come si è infiltrato SnappyClient nel mio dispositivo?
SnappyClient si diffonde attraverso siti web falsi e truffe sui social media. Questi siti web possono scaricare automaticamente un file dannoso (HijackLoader), che installa SnappyClient se aperto. Può anche diffondersi attraverso post sui social media che inducono gli utenti a cliccare su link o seguire istruzioni (tecnica ClickFix), portando allo stesso malware che viene scaricato ed eseguito.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è efficace contro la maggior parte dei malware, ma alcune infezioni avanzate possono essere più difficili da rilevare. Una scansione completa del sistema è quindi importante per controllare accuratamente il dispositivo e rimuovere eventuali minacce nascoste.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione