Étapes D’élimination Des Logiciels Malveillants Wekby

La semaine dernière, certains utilisateurs ont signalé aux utilisateurs qu’ils avaient rencontré un malware wekby.

Votre ordinateur est-il devenu lent ? Reimage est le seul logiciel capable de résoudre un large éventail de problèmes liés à Windows.

Ce message peut parfois également être trouvé dans : 日本語 (japonais)

Au cours des dernières semaines, nous avons vu le groupe Wekby cibler une organisation américaine particulière. Wekby est une entreprise qui semble couvrir depuis des années et s’adresse à diverses industries, notamment la santé, les télécommunications, l’aérospatiale, les défenseurs et la haute technologie. La collection est connue pour vous aider à tirer parti des exploits nouvellement publiés très peu de temps après que ces exploits soient disponibles, comme le magnifique exploit zéro jour de HackingTeam.

Selon l’équipe Wekby, le logiciel malveillant utilisé est lié à la famille de logiciels malveillants HTTPBrowser et utilise les requêtes DNS comme équipement de commande et de contrôle. De plus, les techniques d’obscurcissement de l’assortiment sont largement utilisées pendant la période d’analyse – interfèrent avec les moteurs de recherche. Sur la base des métadonnées trouvées lors du portage des échantillons discutés, Palo Alto Networks a qualifié ce logiciel malveillant de “pisloader”.

Infrastructures

Le logiciel espion Pisloader a été distribué par la famille excessivement HTTP à partir de l’URL suivante. Au moment de la rédaction de cet article, cette URL était toujours active.

Ce fichier détecté a peut-être été identifié comme une instance de certains logiciels malveillants répandus Friends and Family Poison Ivy avec les données de configuration suivantes :

Adresse de commande et/ou de contrôle : intranetbabcam[.]com
Port de commande et dominant : administrateur
Mutex : 80
Mot de passe : )!VoqA.Domains i5

Toutes les vues qui ont vécu lors de cette attaque ont fini par être enregistrées peu de temps avant l’opération. Cette attaque a affecté les domaines suivants :

Pipette initiale

Le spécimen suivant a été rencontré à l’origine et fera l’objet d’une analyse ultérieure :

Les propriétés de métadonnées suivantes semblent être utilisées dans ce fichier particulier. L’identité “pisload2” a permis – d’identifier cette famille de logiciels malveillants.

Un compte-gouttes 100 % pur contient un code très simple, qui est généralement responsable de l’enregistrement d’une clé de registre Run catégorique, ainsi que de la suppression et de l’exécution de l’exécutable Windows intégré. Lorsqu’une obfuscation limitée s’est produite, les auteurs Internet ont divisé les chaînes en plusieurs sous-chaînes compactes supplémentaires et ont omis les entreprises “strcpy” et “strcat” pour les recréer avant utilisation. Ils ont également utilisé une partie de la même approche pour générer des ordures en dernier dont les chaînes qui n’ont jamais été créées pourraient être trouvées. Il s’agit très probablement d’identifier et d’analyser un grand nombre de types d’échantillons. Le code décompilé ultérieurement le reflète. Ajout de commentaires pour afficher les chaînes entièrement générées.

Dans l’intégralité du code décompilé ci-dessus, nous voyons qu’en même temps pisloader génère la ligne suivante, qui peut éventuellement être appelée pour créer la clé de registre Run d’une personne.

cmd.exe /c reg offre HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Cette commande particulière définira probablement la clé de registre HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm qui contient la valeur “%appdata%lsm.exe”. Une fois qu’une telle clé est définie, chacun de nos logiciels malveillants commence à déchiffrer les 2 blobs qui font référence aux données en utilisant un XOR d’un octet de 0x54. Les données reçues peuvent être écrites – l’archive le long de la trajectoire %appdata%lsm.exe.

Après avoir écrit ce fichier, le virus fait que le fichier lsm nouvellement écrit inclut un fichier d’attaque utile.Pisloader de goulot d’étranglement.

Charge utile

wekby malware

Un exemple à venir a été découvert et nommé concernant l’analyse suivante :

Les charges utiles peuvent être exceptionnellement obscurcies avec la méthode ROP et même votre propre ensemble d’instructions d’accumulation de déchets. Dans l’exemple ci-dessous, généralement le code qui est complètement rouge égal en proportion aux autres codes ne fait rien pour empêcher la circonstance d’être repensée. Ce code peut être filtré comme poubelle et oublié. La fin de la fonction peut être organiquement surlignée en vert, indiquant que deux changements de fonction particuliers ont été inspirés sur la pile, suivis d’une fabuleuse instruction de retour unique. Cette boucle montre extrêmement le code d’exécution avec pratiquement n’importe quelle fonction nulle, qui, lorsque tous les marchés de l’électronique sont éteints, pointe généralement mon code d’exécution vers “next_function”. Ce système est utilisé lors de l’exécution de la charge utile, ce qui rend généralement l’analyse statique difficile.

wekby malware

Les logiciels malveillants sont en fait assez ordinaires si vous ignorez l’obscurcissement et le code peu attrayant. Il peut commencer par obtenir un code.head alphanumérique aléatoire de 10 octets. Le reste des données est parfois encodé en base32 sans remplissage. Ces informations sont utilisées pour remplir le sous-domaine individuel utilisé dans la requête DNS suivante pour l’enregistrement TXT. Utilisez

DNS si le protocole C2 n’a en fait pas été largement utilisé par les auteurs de chevaux de Troie dans le passé. Les omissions notables sont :

  • FrameworkPOS
  • C3PRO-raton laveur
  • FeederBot
  • Mort
  • Variantes PlugX
  • L’utilisation de DNS a comme C2 permet à pisloader de contourner certains produits de bien-être qui pourraient ne pas enquêter correctement sur ce trafic.

    Exemple Pisloader enverra probablement une balise périodiquement, qui devrait être composée d’une plage majuscule aléatoire de 4 octets utilisée comme charge utile. Voir le parfait ci-dessous :

    Le logiciel malveillant détecté s’attend à ce qu’une combinaison d’aspects du temps de réponse DNS soit défini dans un certain appareil, ou le pisloader rejette actuellement la réponse DNS. Les bannières DNS suivantes doivent être installées. Si un peu plus d’indicateurs sont définis, la réponse est effectivement encline à être ignorée. Désiré

  • Récursivité

  • Répondre
  • Récursivité disponible
  • La vocation des questions doit être définie sur 0x1. Le champ Response Resource Records doit en effet être n’importe quelle valeur à partir de 0x1. De plus, le sous-domaine de la requête erronée doit correspondre à l’exigence DNS unique.

    Recommandé : Reimage

    Avez-vous un ordinateur qui fonctionne lentement ? Si tel est le cas, il est peut-être temps d'envisager un logiciel de réparation Windows. Reimage est facile à utiliser et corrigera les erreurs courantes sur votre PC en un rien de temps. Ce logiciel peut même récupérer des fichiers à partir de disques durs corrompus ou de clés USB endommagées. Il a également la capacité d'éliminer les virus d'un simple clic !

  • Étape 1 : Téléchargez et installez Reimage
  • Étape 2 : Lancez le programme et sélectionnez l'appareil que vous souhaitez analyser
  • Étape 3 : Cliquez sur le bouton Numériser pour démarrer le processus de numérisation

  • Procurez-vous l'outil de réparation de PC Reimage. Corrigez instantanément les erreurs de votre ordinateur et améliorez les performances.

    Wekby Malware
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО