Backdoor.Bladabindi is the detection for a family of backdoors that steal sensitive information from the affected system.
Type and source of infection
The information stolen by Backdoor.Bladabindi is sent to the threat actors. Some members of this family can also download and execute additional malware.This threat uses several methods of spreading:
- Infected removable drives
- Installed by other Trojans
- Links to infected websites
Protection
Malwarebytes blocks Backdoor.Bladabindi
Home remediation
Malwarebytes can remove Backdoor.Bladabindi without further user interaction.
- Please download Malwarebytesto your desktop.
- Double-click MBSetup.exeand follow the prompts to install the program.
- When your Malwarebytes for Windowsinstallation completes, the program opens to the Welcome to Malwarebytes screen.
- Click on the Get started button.
- Click Scan to start a Threat Scan.
- Click Quarantineto remove the found threats.
- Reboot the system if prompted to complete the removal process.
Business remediation
How to remove Backdoor.Bladabindi with the Malwarebytes Nebula console
You can use the Malwarebytes Anti-Malware Nebula console to scan endpoints.
Nebula endpoint tasks menu
Choose the Scan + Quarantine option. Afterwards you can check the Detections pageto see which threats were found.
Một worm trong Windows lây lan qua các ổ đĩa di động bị phát hiện đang phát tán trojan BLADABINDI kèm các nguy cơ cài backdoor, tấn công DDoS và RAT.
Trojan BLADABINDI từng được sử dụng trong nhiều chiến dịch tấn công mạng do có khả năng thích ứng cao, cho phép hacker điều chỉnh trojan cho từng mục tiêu cụ thể. Trojan này có thể được sử dụng như một backdoor, để thực hiện các cuộc tấn công DDoS với vai trò một botnet, và cho phép người dùng trích xuất thông tin bằng cách sử dụng mô-đun keylogger của nó.
Trend Micro đã phát hiện ra một chiến dịch mã độc mới được cho là sử dụng worm trong Windows, có tên Worm.Win32.BLADABINDI.AA để cài đặt một phiên bản không file của backdoor BLADABINDI.
BLADABINDI sử dụng ngôn ngữ kịch bản AutoIt để biên dịch cả kịch bản lệnh thả và thông tin gói payload khi thả xuống các thiết bị bị tấn công, cùng lúc sử dụng gói UPX để làm xáo trộn chính trojan khiến việc phát hiện trở nên khó khăn hơn nhiều.
Một khi trojan tiếp cận được một hệ thống mới, nó sẽ tìm và xóa các tệp nhị phân Tr.exe khỏi thư mục tạm thời và cài đặt phiên bản của nó, đồng thời kéo dài sự tồn tại của nó bằng cách sao chép chính nó vào thư mục Windows Startup và tạo một mục đăng ký AdobeMX trong đó sử dụng reflective loading để tải mã độc từ bộ nhớ.
Biến thể BLADABINDI này sử dụng nhiều kỹ thuật để duy trì sự tồn tại
Tải mã độc từ bộ nhớ hệ thống khiến BLADABINDI trở thành một mã độc không file, giúp nó không bị phát hiện bởi các giải pháp phòng chống mã độc chỉ thực hiện quét các ổ đĩa hệ thống.
Dòng BLADABINDI này đi kèm với nhiều công cụ backdoor từ ghi lại thao tác bàn phím, đánh cắp thông tin xác thực từ các trình duyệt web đến truy xuất và thực thi các tệp.
Trên thực tế, biến thể BLADABINDI này sử dụng các ổ đĩa di động để tự phát tán khiến nó trở nên đặc biệt nguy hiểm đối với các doanh nghiệp và người dùng sử dụng các thiết bị với mục đích chia sẻ tài liệu.
Trend Micro khuyến cáo người dùng hạn chế và bảo đảm an toàn trong việc sử dụng USB và ổ cứng di động, hoặc các công cụ như PowerShell [đặc biệt trên các hệ thống có dữ liệu nhạy cảm] và chủ động giám sát cổng, điểm kết nối cuối, mạng và máy chủ để phát hiện các hành vi và chỉ số bất thường.
Please do the following so that we may take a closer look at your system for any possible infections.
Do these 2 steps so that ALL folders & Files are set to SHOW, plus also, Turn OFF Windows Fast start. Show-Hidden-Folders-Files-Extensions //forums.malwarebytes.com/topic/299345-show-hidden-folders-files-extensions/
Disable-Fast-Startup //forums.malwarebytes.com/topic/299350-disable-fast-startup/
Then please restart the computer and do the following.
WARNING: Do Not click the Repair option under Advanced unless requested by a Malwarebytes support agent or authorized helper
NOTE: The tools and the information obtained are safe and not harmful to your privacy or your computer, please allow the programs to run if blocked by your system.
- Download the Malwarebytes Support Tool
- In your Downloads folder, open the mb-support-x.x.x.xxx.exe file
- In the User Account Control pop-up window, click Yes to continue the installation
- Run the MBST Support Tool
- In the left navigation pane of the Malwarebytes Support Tool, click Advanced
- In the Advanced Options, click Gather Logs. A status diagram displays the tool is Getting logs from your machine
- A zip file named mbst-grab-results.zip will be saved to the Desktop or on the hidden Public desktop [usually C:\Users\Public\Desktop], please upload that file on your next reply Then be patient for the next expert to take your case.
Thank you
Link to post Share on other sitesID:1597834
- * Share
Hello @Yash87
- Author
ID:1597835
- * Share
Can I talk to one of the staff??
Link to post Share on other sitesID:1597837
- * Share
This is a public forum where people post their issue and typically experts help out. There are no telephones involved. What is it now ?
Link to post Share on other sitesID:1597840
- * Share
1. Do the steps suggested above by Porthos
2. The Microsoft Safety Scanner is a free Microsoft stand-alone virus scanner that can be used to scan for & remove malware or potentially unwanted items from a system. This tool does not install. It is run on-demand.
This link is for the 64-bit version of MSERT.exe . Be sure you save the file first
Upon completion of the save, Please make sure you Exit out of any other program you might have open so that the sole task is to run the following scan. That goes especially for web browsers, make sure all are fully exited out of and messenger programs are exited and closed as well
Launch MSERT.exe Accept the agreement terms of Microsoft Select CUSTOM scan Look on Scan Options & select CUSTOM scan & then select the C drive to be scanned.
Then start the scan. Have lots of patience. Once you start the scan & you see it started, then leave it be.
Once you see it has started, take a long long break; walk away. Do not pay credence if you see some intermediate early flash messages on screen display. The only things that count are the End result at the end of the run. Again, any on-screen display about repeat 'infection' is not to be relied on. Ignore those. We only rely on the end result that is on the log-report-file.
This is likely to run for many hours [ depending on number of files on your machine & the speed of hardware.]
The log is named MSERT.log
the log will be at
Windows\debug\msert.log Please attach that log with your reply
It is normal for the Microsoft Safety Scanner to show 'detections' during the scan process on the screen itself.
It is scanning for basically all bread crumbs or traces of files and registry entries that "might" be or have been part of some infection or previous infection.
That DOES NOT mean the computer is infected. Once the scan has been completed it uploads the log to their Cloud service which then uses Artificial Intelligence to determine if in fact any of the traces are an infection or not.
Link to post Share on other sitesID:1597879
- * Share
Results Summary:
No infection found. Successfully Submitted MAPS Report Successfully Submitted Heartbeat Report Microsoft Safety Scanner Finished On Thu Nov 2 00:17:50 2023
Thank you for running the Safety Scanner.
Please run the following custom script. Read all of this before you start. The meaning of the "Fix button" operation here is just to run a custom script just for this particular machine.
NOTE-1: This custom fix will run a scan to check that all Microsoft operating system files are valid and not corrupt and attempt to correct any invalid files. It will attempt to run a scan with Microsoft Defender antivirus. It will attempt to clear Cache files of web browsers. It will attempt to clear temporary file areas. It rebuilds the Winsock. Depending on the speed of your computer this fix may take 50-55 minutes or more.
Please Close all open work before you actually do begin this run.
FRSTENGLISH.exe program location: Downloads folder. The tool is already on system. That is what we will use.
Please download the attached fixlist.txt file and save it to Downloads
Fixlist.txt