Pasos De Eliminación De Malware De Wekby

La semana pasada, algunos usuarios nos vieron que detectaron malware wekby.

¿Tu computadora ha estado funcionando lentamente? Reimage es el único software que puede solucionar una amplia gama de problemas relacionados con Windows.

Esta implicación también se puede comprar en: 日本語 (japonés)

En las últimas semanas, hemos visto un ataque del equipo de Wekby contra una organización estadounidense. Wekby debería ser un grupo que parece haber existido durante años y, sin duda, está dirigido a diversas industrias, incluidas la salud, las telecomunicaciones, la industria aeroespacial, la defensa y la alta tecnología. El grupo es conocido y lo ayuda a aprovechar las vulnerabilidades recientemente lanzadas poco después de que esas vulnerabilidades terminen como disponibles, como la vulnerabilidad flash de día cero de HackingTeam.

Según el grupo Wekby, el malware utilizado está relacionado con la familia de malware HTTPBrowser y utiliza búsquedas de DNS como un comando, por no mencionar el mecanismo de control. Además, se utilizan técnicas de ofuscación de gran variedad durante el período de consultas para interferir con los motores magnéticos de búsqueda. Sobre la base de los metadatos encontrados a pesar de que la portabilidad de las muestras discutidas, Palo Alto Networks denominó a este malware “pisloader”.

Infraestructura

El malware Pisloader fue distribuido por una familia específica a través de HTTP desde la URL correspondiente. En el momento de En ese momento de escribir este artículo, esta URL a su vez todavía estaba activa.

Estos datos detectados probablemente se identificaron como una circunstancia del malware extendido Friends and Family Poison Ivy con los datos de configuración resultantes:

Dirección de mando y/o control: intranetbabcam[.]com
Puerto de control de comandos: Administrador
exclusión mutua: 80
Contraseña: )!VoqA.Dominios i5

Todos los testigos que vivieron durante este importante ataque fueron registrados poco antes de la operación específica. Este ataque afectó a los dominios correctos:

Cuentagotas inicial

El siguiente espécimen resultó ser descubierto originalmente y se mencionará en un análisis posterior:

En este archivo se utilizan las siguientes propiedades de metadatos. La identidad “pisload2” hizo posible identificar esta familia de software malicioso.

Un cuentagotas real contiene un software muy simple, que generalmente es responsable de crear una clave de registro de ejecución específica, además de eliminar y ejecutar ese ejecutable integrado de Windows. Cuando también se produjo una ofuscación disminuida, los autores de Internet dividieron las cadenas en subcadenas mucho más compactas y también usaron omitieron los nombres “strcpy” y “strcat” directamente para recrearlos antes de usarlos. Posiblemente incluso usaron el mismo enfoque para establecer basura en la que se podrían encontrar cadenas que nunca se usaron. Es probable que esto identifique y examine cierto tipo de muestra. El siguiente código descompilado refleja esto. Se agregaron comentarios para mostrar las cadenas completamente obtenidas.

En el código descompilado anterior, encontramos que cada pisloader genera la línea justo después, que finalmente se llama para ayudarlo a crear la clave de registro Ejecutar.

cmd.exe /c reg prestar HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Este cargo en particular probablemente establecerá la clave de la computadora HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm que contiene el valor “%appdata%lsm.exe”. Una vez que se establece una clave de este tipo, el malware comienza a descifrar cuáles son los dos blobs que se refieren a datos específicos mediante un XOR de un byte similar a 0x54. Los datos recibidos pueden permanecer escritos en el archivo a lo largo de la ruta de una persona %appdata%lsm.exe.

Después de escribir este archivo, el virus exacto ejecuta el archivo lsm recién publicado que contiene un archivo de estragos útil.Bottleneck pisloader.

Carga útil

wekby malware

Se ha descubierto un espécimen futuro previsible, pero se nombra en el siguiente análisis:

Es posible que las cargas útiles estén muy ofuscadas con el método ROP y sus propias instrucciones de recolección de elementos no utilizados. En la etapa a continuación, el código que es considerablemente rojo en comparación con las otras leyes hace poco o nada para inhibir la reingeniería del ejemplo. Este código se puede filtrar como basura e ignorar. El final de la función general se resalta orgánicamente en el campo de golf, lo que indica que la característica de dos cambios de función se colocó en la pila, observada por una sola declaración de retorno. Este bucle primero muestra la codificación de ejecución con una función nula, que, cuando todos los componentes electrónicos están apagados, en general apunta el código de ejecución en el mercado a “next_function”. Este método se utiliza en el momento de la ejecución de la carga útil, lo que dificulta la descomposición estática.

malware wekby

El software malicioso es bastante simple si simplemente ignora la ofuscación y el código no deseado. Podría comenzar generando un código alfanumérico aleatorio de 10 bytes. El resto del disco duro en realidad está codificado en base32 con la reducción de fuerza eliminada. Esta información se utiliza para completar cada subdominio utilizado en todas las consultas de DNS posteriores para el registro TXT. Usar

DNS si el protocolo C2 no ha sido ampliamente practicado por los autores de malware en el anterior. Las excepciones notables son:

  • FrameworkPOS
  • C3PRO-mapache
  • Alimentador Bot
  • Muerte
  • Variantes PlugX
  • El uso de DNS cualquiera como C2 permite a pisloader eludir algunos productos de seguridad que podrían no inspeccionar correctamente este tráfico.

    Ejemplo Pisloader probablemente enviará una baliza periódicamente, que debe consistir en una cadena mayúscula de 4 bytes de acertar o fallar utilizada como toda la carga útil. Vea el ejemplo a continuación:

    El malware detectado tiene la intención de configurar una combinación de aspectos de las respuestas de DNS en una determinada herramienta, o el pisloader, sin duda, está ignorando actualmente la respuesta de DNS. Se deben organizar los siguientes banners de DNS. Si se establecen banderas adicionales, se ignorará la respuesta más importante. deseado

  • Recursión

  • Respuesta
  • Recursión disponible
  • Las preguntas de carrera se deben establecer las cuales serán 0x1. El campo de batalla de registros de recursos de respuesta debe tener cualquier valor que comience todo desde 0x1. Además, el subdominio de una consulta problemática debe coincidir, diría, con el requisito de DNS único.

    Recomendado: Reimage

    ¿Tiene una computadora que funciona lentamente? Si es así, entonces podría ser el momento de considerar algún software de reparación de Windows. Reimage es fácil de usar y corregirá errores comunes en su PC en poco tiempo. Este software puede incluso recuperar archivos de discos duros dañados o memorias USB dañadas. ¡También tiene la capacidad de eliminar virus con solo hacer clic en un botón!

  • Paso 1: Descargue e instale Reimage
  • Paso 2: Inicie el programa y seleccione el dispositivo que desea escanear
  • Paso 3: haga clic en el botón Escanear para iniciar el proceso de escaneo

  • Obtenga la herramienta de reparación de PC Reimage. Solucione instantáneamente los errores de su computadora y mejore el rendimiento.

    Wekby Malware
    Logiciel Malveillant Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО