Wekby 멀웨어 제거 단계

지난주 일부 사용자는 wekby 멀웨어를 발견했다고 보고했습니다.

컴퓨터가 느리게 실행되었습니까? Reimage은 광범위한 Windows 관련 문제를 해결할 수 있는 유일한 소프트웨어입니다.

이 믿음은 다음에서도 찾을 수 있습니다. 日本語(일본어)

몇 주 초반에 Wekby 그룹이 미국 조직을 공격하는 것을 목격했습니다. Wekby는 헬스케어, 전화 시스템, 항공우주, 국방, 하이테크 등 다양한 산업에 집중되어 있는 몇 년 전의 모습을 단순히 그룹화한 것입니다. 이 그룹은 HackingTeam 제로데이 썸 익스플로잇과 같이 해당 익스플로잇이 판매된 직후 새로 출시된 제품을 구매자가 활용할 수 있도록 돕는 것으로 유명합니다.

Wekby 팀에 따르면 사용되는 일종의 맬웨어는 현재 HTTPBrowser 맬웨어 제품군과 관련이 있으며 DNS 조회를 명령 및 제거 메커니즘으로 사용합니다. 또한 분석 순간에 구색 난독화 팁을 사용하여 검색 엔진을 방해합니다. 논의된 샘플을 이식했음에도 불구하고 발견된 메타데이터를 기반으로 Palo Alto Networks는 이 악성코드를 “pisloader”라고 명명했습니다.

인프라

Pisloader 악성코드는 다음 URL에서 사랑받는 사람이 HTTP를 통해 배포했습니다. 이 기사를 작성하는 여가 시간에 이 URL은 여전히 ​​활성 상태였습니다.

이 탐지된 파일은 실제로 다음 배열 데이터와 함께 널리 퍼진 Friends and Family Poison Ivy 악성코드의 인스턴스로 식별되었을 가능성이 있습니다.

명령 및/또는 제어 주소: intranetbabcam[.]com
제어 포트와 함께 명령: 관리자
뮤텍스: 80
비밀번호: )!VoqA.Domains i5

이 히트 동안 살았던 모든 참조는 회사 직전에 기록되었습니다. 이 공격은 적용 도메인에 영향을 미쳤습니다.

초기 스포이드

다음 표본은 발견된 것으로 선택했으며 추가 분석에서 참조할 것입니다.

다음 메타데이터 주거지가 이 특정 데이터에 사용됩니다. “pisload2” ID를 통해 이 악성코드군을 식별할 수 있었습니다.

주요 드롭퍼에는 매우 간단한 코드가 포함되어 있으며 일반적으로 내 내장 Windows 실행 파일을 삭제하고 실행하는 것처럼 특정 Run 레지스트리 키를 저장하는 역할을 합니다. 난독화 문제가 발생했을 때 인터넷 작성자는 문자열을 훨씬 더 간결한 하위 문자열로 나누고 “strcpy” 및 “strcat”이라는 이름을 사용하기 전에 재생산하는 데 사용했습니다. 그들은 또한 사용되지 않은 문자열을 찾을 수 있는 쓰레기를 생성하기 위해 동일한 접근 방식을 사용했습니다. 이것은 실제로 좋은 고체 특정 유형의 샘플을 식별하고 분석할 가능성이 높습니다. 다가오는 디컴파일된 코드는 이것을 반영합니다. 완전히 생성된 문자열을 표시하기 위한 피드백이 추가되었습니다.

위의 디컴파일된 코드를 보면 각 피스로더가 다음 전화선을 생성하는 사람이 정확히 누구인지 알 수 있습니다. 이 전화선은 결국 Run 레지스트리 키를 결합하기 위해 호출됩니다.

cmd.exe /c reg 가져오기 HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

이 특정 명령은 “%appdata%lsm.exe”를 포함하는 레지스트리 매개변수 HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm을 설정할 가능성이 높습니다. 이러한 키가 조정되면 맬웨어는 0x54와 관련된 1바이트 XOR을 사용하여 개인 세부 정보를 참조하는 여러 얼룩을 해독하기 시작합니다. 수신된 데이터는 트레킹 %appdata%lsm.exe를 따라 아카이브에 표시될 수 있습니다.

이 파일을 작성한 후 컴퓨터 시스템 바이러스는 유용한 공격 파일.Bottleneck Pisloader를 포함하는 새로 작성된 lsm 선언을 실행합니다.

페이로드

wekby Malware

다음 분석에서 다음 표본이 발견되어 알려졌습니다.

페이로드는 ROP 절차와 자체적인 쓰레기 수집 지침 세트로 인해 매우 난독화될 수 있습니다. 다음 예제에서 다른 코드와 비교하여 완전히 보라색인 코드는 실제 예제가 재설계되는 것을 방지하기 위해 거의 또는 전혀 실행되지 않습니다. 이 절차는 쓰레기로 필터링될 수 있으며 더 이상 무시될 수 있습니다. 부분의 끝은 유기적으로 녹색으로 강조 표시되어 두 개의 함수 시프트가 스택에 푸시되고 단일 return 문 뒤에 있음을 나타냅니다. 이 주기는 먼저 null 함수의 실행 코드를 보여줍니다. null 함수는 거의 전자 장치가 꺼져 있을 때 일반적으로 실행 코드를 “next_function”으로 생성합니다. 이 방법은 페이로드 전체 성능 중에 사용되므로 정적 분석이 어렵습니다.

wekby Malware

Malware는 난독화와 원치 않는 코드를 무시하면 실제로 완전히 간단합니다. 임의의 10바이트 영숫자 code.head를 생성한 결과로 시작될 수 있습니다. 나머지 데이터도 실제로 패딩이 제거된 base32로 인코딩됩니다. 이 정보는 TXT가 추적하는 적절한 DNS 쿼리에 사용되는 각 하위 도메인을 채우는 데 사용됩니다. 사용

C2 방법이 과거에 맬웨어 작성자에 의해 널리 사용되지 않은 경우 DNS입니다. 주목할만한 예외는 다음과 같습니다.

<문자열>

  • 프레임워크POS
  • C3PRO-너구리
  • 피더봇
  • 죽음
  • PlugX 변형
  • DNS를 C2로 사용하면 pisloader가 이 트래픽을 안전하게 검사하지 못할 수 있는 많은 보안 제품을 우회할 수 있습니다.

    예시 Pisloader는 페이로드로 사용되는 4바이트 다양한 대문자 문자열로 구성되어야 하는 비콘을 주기적으로 보낼 가능성이 매우 높습니다. 아래 예를 참조하세요.

    탐지된 맬웨어는 DNS 피드백의 모든 측면이 다양한 도구에서 설정될 것으로 예상합니다. 그렇지 않으면 피스로더가 이 시점에서 DNS 응답을 무시합니다. 추구하는 DNS 배너를 설치해야 합니다. 추가 플래그가 설정되면 솔루션은 실제로 무시됩니다. 원하는

  • 재귀

    <문자열>

  • 대답
  • 재귀 사용 가능
  • 질문 경력은 0x1이 필요할 때 설정해야 합니다. 응답 리소스 레코드 필드는 절대적으로 0x1에서 멀리 시작하는 값이어야 합니다. 또한 문제가 있는 쿼리의 하위 도메인은 특별한 DNS 요구 사항과 일치해야 합니다.

    권장: Reimage

    느리게 실행되는 컴퓨터가 있습니까? 그렇다면 일부 Windows 복구 소프트웨어를 고려할 때입니다. Reimage은 사용하기 쉽고 PC의 일반적인 오류를 즉시 수정합니다. 이 소프트웨어는 손상된 하드 드라이브나 손상된 USB 스틱에서 파일을 복구할 수도 있습니다. 또한 한 번의 버튼 클릭으로 바이러스를 제거하는 기능도 있습니다!

  • 1단계: Reimage 다운로드 및 설치
  • 2단계: 프로그램을 실행하고 스캔하려는 장치를 선택합니다.
  • 3단계: 스캔 버튼을 클릭하여 스캔 프로세스 시작

  • Reimage PC 수리 도구를 받으십시오. 컴퓨터 오류를 즉시 수정하고 성능을 향상시키십시오.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    Wekby вредоносное ПО