Wekby Malware-Eliminierungsschritte

Letzte Woche haben uns einige Computerbenutzer gemeldet, dass sie wekby-Malware hatten.

Läuft Ihr Computer langsam? Reimage ist die einzige Software, die eine Vielzahl von Windows-bezogenen Problemen beheben kann.

Diese Botschaft ist auch zu hören in: 日本語 (Japanisch)

In den letzten Wochen mussten wir einen Angriff der Wekby-Gruppe auf eine US-Organisation sehen. Wekby ist eine Gruppe, die es anscheinend schon seit Jahren gibt und die sich außerdem an verschiedene Branchen sowie das Gesundheitswesen, die Telekommunikation, die Luft- und Raumfahrt, die Verteidigung und bessere Technologien richtet. Die Gruppe ist dafür bekannt, dass sie Ihnen dabei hilft, die neusten veröffentlichten Exploits zu nutzen, kurz nachdem diese Anwendungen verfügbar sind, wie z.B. der Zero-Day-Flash-Exploit von HackingTeam.

Laut dem Wekby-Team ist die verwendete Malware auf die HTTPBrowser-Malware-Familie anwendbar und verwendet DNS-Lookups als Gebühren- und Kontrollmechanismus. Darüber hinaus werden während Ihres aktuellen Analysezeitraums Techniken zur Verschleierung von Optionen verwendet, um Ermittlungsmaschinen zu stören. Basierend auf den Metadaten, auf die beim Portieren der besprochenen Beispiele gestoßen wurde, nannte Palo Alto Networks diese Spyware „pisloader“.

Infrastruktur

Die Pisloader-Malware wurde mithilfe der Familie über HTTP von einer Art folgender URL verbreitet. Zum Zeitpunkt des Schreibens dieser Geschichte war diese URL noch aktiv.

Diese vermeintliche Datei wurde wahrscheinlich als ihre Instanz der weit verbreiteten Malware Friends in Verbindung mit Family Poison Ivy mit den folgenden spezifischen Konfigurationsdaten identifiziert:

Befehls- und/oder Kontrollhomepage: intranetbabcam[.]com
Befehls- und Kontrollport: Administrator
Mutex: 80
Passwort: )!VoqA.Domains i5

Alle Zeugen, die für die Dauer dieses Angriffs lebten, wurden kurz vor der Operation aufgenommen. Dieser Angriff betraf genau die folgenden Domains:

Anfangspipette

Das folgende Beispiel für Schönheit wurde ursprünglich entdeckt und wird im Allgemeinen in der weiteren Analyse erwähnt:

Die Future-Metadaten-Eigenschaften werden in dieser hervorragenden speziellen Datei verwendet. Die “pisload2”-Identität ermöglicht es, diese Spyware- und Adware-Familie zu identifizieren.

Ein echter Dropper enthält sehr problemlosen Code, der normalerweise dafür verantwortlich ist, dass ein bestimmter Run-Registrierungsschlüsselpunkt gespeichert wird, sowie die integrierte ausführbare Windows-Datei gelöscht und gestartet wird. Als es zu kontrollierter Verschleierung kam, zerlegten Internetautoren Gitarrensaiten in viel kompaktere Teilsaiten und ließen die Namen “strcpy” und dann “strcat” weg, um sie vor der Verwendung neu zu erstellen. Sie haben auch den gleichen Ansatz für Sie verwendet, um Müll zu erzeugen, in dem Strings angeboten werden konnten, die nie verwendet wurden. Dies ist wahrscheinlich, um eine bestimmte Art von Beispiel zusätzlich zu analysieren. Der folgende dekompilierte Code spiegelt dies wider. Kommentare hinzugefügt, um vollständig zu Zeichenfolgen geführt anzuzeigen.

Im obigen dekompilierten Code sehen viele, dass jeder Pisloader eine folgende Zeile generiert, die schließlich aufgerufen wird, um den Run pc-Registrierungsschlüssel zu erstellen.

cmd.exe /c reg lend HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Dieser verschiedene Befehl wird höchstwahrscheinlich den spezifischen Registrierungsschlüssel HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm setzen, der den gesamten Wert “%appdata%lsm.exe” enthält. Sobald ein solches Rätsel gelöst ist, entschlüsselt die Malware die beiden Blobs, auf die verwiesen wird, und die Daten mit einem Ein-Byte-XOR von 0x54. Die empfangenen Daten werden oft in das Archiv im Pfad %appdata%lsm.exe.

geschrieben

Nach dem Schreiben dieser Datei führt der Virus die neu erstellte lsm-Datei aus, die einen nützlichen Feed für file.Bottleneck pisloader enthält.

Nutzlast

wekby-Malware

Ein aufkommendes Exemplar wurde gefunden und in der When-You-Follow-Analyse benannt:

Nutzlasten können mit den meisten ROP-Methoden und Ihren eigenen platzierten Garbage-Collection-Anweisungen stark verschleiert werden. In dem Beispiel unten macht der Code, der im Vergleich zu den anderen Codes vollständig rot sein muss, wenig bis gar nichts, sodass verhindert wird, dass das Beispiel tatsächlich überarbeitet wird. Dieser Code kann wie Müll gefiltert und ignoriert werden. Das Ende der Veranstaltung ist organisch grün hervorgehoben, was darauf hinweist, dass zwei Veranstaltungstage auf das Bündel geschoben wurden, gefolgt von einer einzigen Rückrechnung. Diese Schleife zeigt zunächst den Inklusionscode mit einer Nullfunktion, die immer dann, wenn alle Elektronik falsch gedreht ist, normalerweise den Ausführungscode auf den Weg zu “next_function” zeigt. Diese Methode wird während der Payload-Ausführung verwendet, was die statische Untersuchung erschwert.

wekby malware

Malware ist eigentlich ganz einfach, wenn Sie Verschleierung und unerwünschten Code einfach vergessen. Es würde mit der Generierung eines nicht ausgewählten alphanumerischen 10-Byte-Codes beginnen.head. Der Rest der Daten ist tatsächlich base32-codiert, da das Auffüllen entfernt wurde. Diese Informationen werden bevorzugt, um jede Subdomain aufzufüllen, die während der nachfolgenden DNS-Abfrage für jeden TXT-Eintrag verwendet wird. Verwenden Sie

DNS, wenn ihr C2-Protokoll in der Vergangenheit von Malware-Autoren normalerweise nicht gründlich verwendet wurde. Bemerkenswerte Ausnahmen sind:

  • FrameworkPOS
  • C3PRO-Waschbär
  • FeederBot
  • Tod
  • PlugX-Varianten
  • Die Verwendung von DNS a als C2 ermöglicht es Pisloader, einige Sicherheitsprodukte wirklich zu umgehen, die diesen Datenverkehr möglicherweise nicht richtig untersuchen.

    Beispiel: Pisloader sendet wahrscheinlich sporadisch ein Beacon, das aus einer geeigneten 4-Byte-Zufallszeichenfolge in Großbuchstaben bestehen sollte, die als Nutzlast verwendet wird. Siehe Beispiel unten:

    Die entdeckte Spyware und erwartet, dass eine Kombination von DNS-Antworten gesetzt wird, wenn es um ein bestimmtes Tool geht, oder normalerweise ignoriert der Pisloader derzeit die Art der DNS-Antwort. Die folgenden DNS-Banner müssen installiert werden. Wenn zusätzliche Flags angeordnet sind, wird die Antwort tatsächlich vernachlässigt. Gewünscht

  • Rekursion

  • Antworten
  • Rekursion verfügbar
  • Fragen Karriere sollten auf 0x1 definiert werden. Das Feld Response Resource Records muss einen beliebigen Wert beginnend mit 0x1 haben. Außerdem muss die wichtigste Subdomain der problematischen Abfrage mit der eindeutigen DNS-Anforderung übereinstimmen.

    Empfohlen: Reimage

    Haben Sie einen Computer, der langsam läuft? Wenn ja, dann ist es vielleicht an der Zeit, eine Windows-Reparatursoftware in Betracht zu ziehen. Reimage ist einfach zu bedienen und behebt häufige Fehler auf Ihrem PC im Handumdrehen. Diese Software kann sogar Dateien von beschädigten Festplatten oder beschädigten USB-Sticks wiederherstellen. Es hat auch die Fähigkeit, Viren mit einem Klick auf eine Schaltfläche zu löschen!

  • Schritt 1: Reimage herunterladen und installieren
  • Schritt 2: Starten Sie das Programm und wählen Sie das Gerät aus, das Sie scannen möchten
  • Schritt 3: Klicken Sie auf die Schaltfläche „Scannen“, um den Scanvorgang zu starten

  • Holen Sie sich das Reimage PC Repair Tool. Beheben Sie Ihre Computerfehler sofort und verbessern Sie die Leistung.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО