Wekby Malware-eliminatiestappen

Vorige week meldden enkele verslaafden ons dat ze wekby-malware waren tegengekomen.

Is uw computer traag geworden? Reimage is de enige software die een groot aantal Windows-gerelateerde problemen kan oplossen.

Dit bericht is ook vaak te vinden in: 日本語 (Japans)

In de afgelopen weken hebben we een aanval gezien van de Wekby-groep op een Amerikaanse organisatie. Wekby is een groep die al jaren lijkt te bestaan ​​en is ook gericht op verschillende industrieën zoals gezondheidszorg, telecom, lucht- en ruimtevaart, defensie en zeer hightech. De groep staat erom bekend u te helpen profiteren van zojuist vrijgegeven exploits kort nadat deze inbraken beschikbaar zijn gekomen, zoals de HackingTeam zero-day flash-exploit.

Volgens het Wekby-team is de gebruikte malware vrijwel hetzelfde als de HTTPBrowser-malwarefamilie in combinatie met DNS-lookups als verkrijgings- en controlemechanisme. Bovendien worden tijdens de algemene analyseperiode keuzeverduisteringstechnieken gebruikt om onderzoeksmotoren te verstoren. Op basis van de metadata die werden gezien tijdens het overzetten van de besproken voorbeelden, noemde Palo Alto Networks deze virussen “pisloader”.

Infrastructuur

De Pisloader-malware werd verspreid met behulp van de familie via HTTP vanaf hun volgende URL. Ten tijde van het schrijven van dit account was deze URL nog steeds actief.

Dit onbedekte bestand is waarschijnlijk geïdentificeerd als een sterk exemplaar van de wijdverbreide Friends plus Family Poison Ivy-malware met alle volgende configuratiegegevens:

Command en/of controle kampen met: intranetbabcam[.]com
Commando- en controlepoort: Beheerder
Mutex: 80
Wachtwoord: )!VoqA.Domains i5

Alle getuigen die tijdens deze aanval hebben geleefd, zijn kort voor de operatie opgenomen. Deze aanval had gevolgen voor hun volgende domeinen:

Eerste pipet

Het volgende voorbeeld is oorspronkelijk ontdekt en zal bij verdere analyse zeer belangrijk zijn:

De belangrijke metadata-eigenschappen worden gebruikt in een bepaald bestand. De identiteit “pisload2” achtte het mogelijk om deze spyware-familie te identificeren.

Een echte dropper bevat vrij eenvoudige code, die meestal verantwoordelijk is voor het opslaan van een specifiek Run-registerantwoord, evenals voor het verwijderen en uitoefenen van het ingebouwde Windows-uitvoerbare bestand. Toen beperkte verduistering optrad, braken internetauteurs de post op in veel compactere substrings en lieten de namen “strcpy” in “strcat” weg om ze voor gebruik opnieuw te creëren. Ze gebruikten ook dezelfde aanpak voor jou om rommel te genereren waarin strings, omdat ze nooit werden gebruikt, konden worden gevonden. Dit is waarschijnlijk ook het identificeren van een bepaald type testen. De volgende gedecompileerde code weerspiegelt dit op zijn beurt. Opmerkingen toegevoegd om volledig ontwikkelde tekenreeksen weer te geven.

In de gedecompileerde code hierboven hebben we gezien dat elke pisloader de exacte volgende regel genereert, die uiteindelijk wordt erkend om de registersleutel van het computersysteem Uitvoeren te maken.

cmd.exe /c reg lend HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Deze specifieke opdracht zal hoogstwaarschijnlijk de registersleutel HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm instellen die de waarde “%appdata%lsm.exe” bevat. Zodra zo’n belangrijk is ingesteld, zal de malware de twee blobs die verwijzen naar de gegevens decoderen met behulp van een één-byte XOR van 0x54. De ontvangen gegevens worden zeker met elkaar naar het archief geschreven via het pad %appdata%lsm.exe.

Na het schrijven van deze lijst voert het virus het nieuw gepubliceerde lsm-bestand uit dat een nuttig bout-bestand bevat.Bottleneck pisloader.

Nuttige lading

wekby malware

Een aankomend exemplaar is bedacht en benoemd in de daaropvolgende analyse:

Payloads kunnen zeer versluierd worden met de eigenlijke ROP-methode en uw eigen instructies voor het ophalen van afval. In het onderstaande voorbeeld doet de code die letterlijk helemaal rood is in vergelijking met de verschillende andere codes weinig tot niets dat zou voorkomen dat het voorbeeld eenvoudig opnieuw wordt ontworpen. Deze code kan worden gefilterd als afval en genegeerd. Het einde dat met de functie te maken heeft, is organisch gemarkeerd in de buurt van groen, wat aangeeft dat er twee functie-aanpassingen op de optelling zijn geduwd, gevolgd door een enkele return-opmerking. Deze lus toont eerst de optelcode met een null-functie, en de, wanneer alle elektronica is ingeschakeld, wijst meestal de uitvoeringscode naar “next_function”. Deze methode wordt gebruikt wanneer de payload wordt uitgevoerd, wat statisch huiswerk moeilijk maakt.

wekby malware

Malware is eigenlijk vrij eenvoudig geweest als je onverschillig bent voor verduistering en ongewenste code. Het begint waarschijnlijk met het genereren van een agressieve 10-byte alfanumerieke code.head. De rest van elke gegevens is eigenlijk base32-gecodeerd voor opvulling verwijderd. Deze informatie wordt aanbevolen om elk gebruikt subdomein van de volgende DNS-query voor alle TXT-records te vullen. Gebruik

DNS als het specifieke C2-protocol in het verleden niet erg is gebruikt door malware-auteurs. Opmerkelijke uitzonderingen zijn:

  • FrameworkPOS
  • C3PRO-wasbeer
  • FeederBot
  • Dood
  • PlugX-varianten
  • Door DNS a als C2 te gebruiken, kan pisloader eindelijk enkele beveiligingsproducten omzeilen die dit verkeer mogelijk niet goed inspecteren.

    Voorbeeld Pisloader zal waarschijnlijk van tijd tot tijd een baken verzenden, dat moet bestaan ​​uit een grote 4-byte willekeurige tekenreeks in hoofdletters die als een payload wordt gebruikt. Zie voorbeeld hieronder:

    De gedetecteerde spyware en verwacht dat een combinatie van aspecten van alle DNS-reacties aanwezig is in een bepaalde tool, of over het algemeen negeert pisloader momenteel de DNS-emotie. De volgende DNS-banners moeten meestal geïnstalleerd worden. Als er extra vlaggen worden gemaakt, zal het antwoord inderdaad ongezien zijn. Gewenst

  • Recursie

  • Antwoord
  • Recursie beschikbaar
  • Vragen carrière moet worden vastgesteld op 0x1. Het veld Responsbronrecords moet een waarde van 0x1 zijn. Bovendien moet ons eigen subdomein van de problematische zoekopdracht voldoen aan de unieke DNS-vereiste.

    Aanbevolen: Reimage

    Heeft u een computer die traag werkt? Als dat zo is, is het misschien tijd om wat Windows-reparatiesoftware te overwegen. Reimage is gemakkelijk te gebruiken en lost veelvoorkomende fouten op uw pc in een mum van tijd op. Deze software kan zelfs bestanden herstellen van beschadigde harde schijven of beschadigde USB-sticks. Het heeft ook de mogelijkheid om virussen uit te wissen met één klik op een knop!

  • Stap 1: Download en installeer Reimage
  • Stap 2: Start het programma en selecteer het apparaat dat u wilt scannen
  • Stap 3: Klik op de knop Scannen om het scanproces te starten

  • Download de Reimage pc-reparatietool. Los uw computerfouten onmiddellijk op en verbeter de prestaties.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО