Kroki Eliminacji Złośliwego Oprogramowania Wekby

W zeszłym tygodniu niewielka liczba użytkowników zgłosiła nam, że napotkali złośliwe oprogramowanie Wekby.

Czy Twój komputer działa wolno? Reimage to jedyne oprogramowanie, które może rozwiązać wiele problemów związanych z systemem Windows.

Tę wiadomość można również zmienić w znalezioną w: 日本語 (japoński)

W ciągu ostatnich kilku tygodni wiele osób widziało atak głównej grupy Wekby wymierzony w Stany Zjednoczone . Wekby to grupa, która istnieje od wielu lat i jest skierowana do różnych savoir-faire, w tym opieki zdrowotnej, telekomunikacji, lotnictwa, obrony i zaawansowanych technologii. Grupa jest dobrze znana z tego, że pomaga wykorzystać nowo wydane exploity wkrótce po udostępnieniu wielu exploitów, takich jak zwykle exploit flashowy HackingTeam zero-day.

Według całego zespołu Wekby, użyte złośliwe oprogramowanie jest dosłownie powiązane z powiązaniem złośliwego oprogramowania HTTPBrowser i wykorzystuje wyszukiwania DNS jako własny mechanizm dowodzenia i kontroli. Podczas wstawiania, techniki zaciemniania asortymentu są używane w okresie analizy, aby całkowicie ingerować w wyszukiwarki. Na podstawie metadanych znalezionych podczas przenoszenia omawianych fragmentów, Palo Alto Networks nazwało to oprogramowanie szpiegowskie „pisloaderem”.

Infrastruktura

Złośliwe oprogramowanie Pisloader zostało przesłane przez rodzinę przez HTTP pierwotnie z następującego adresu URL. W czasie, gdy pisałem ten artykuł, ten adres URL był aktywny nawet dzisiaj.

Wykryty plik został prawdopodobnie zidentyfikowany jako wystąpienie szeroko rozpowszechnionego złośliwego oprogramowania Friends and Family Poison Ivy, biorąc pod uwagę następujące dane konfiguracyjne:

Polecenie i/lub zmniejszenie adresu: intranetbabcam[.]com
Port dowodzenia i kontroli: Administrator
Mutex: 80
Hasło: )!VoqA.Domains i5

Wszyscy świadkowie, którzy żyli podczas tego ataku, zostali zarejestrowani niedługo przed operacją. Ten atak dotyczy następujących domen:

Początkowy zakraplacz

Ważny okaz został pierwotnie odkryty i na pewno będzie przedmiotem dalszej analizy:

Poniższe właściwości metadanych są używane w całym tym konkretnym pliku. Prawdziwa tożsamość „pisload2” umożliwiła zidentyfikowanie tej jednej rodziny złośliwego oprogramowania.

Prawdziwy dropper zawiera trochę prostego kodu, który jest zwykle ostrożny przy zapisywaniu określonego klucza rejestru systemu Windows, a także usuwaniu wraz z uruchomieniem wbudowanego pliku wykonywalnego systemu Windows. Kiedy pojawiło się ograniczone zaciemnianie, autorzy Internetu dzielili ciągi na znacznie więcej podciągów i pomijali nazwy „strcpy” oprócz „strcat”, aby odtworzyć je przed ćwiczeniem. Wykorzystali również ten sam kontakt, aby wygenerować śmieci, w których można było znaleźć struny gitarowe, które nigdy nie były używane. Jest to prawdopodobne, aby zlokalizować i przeanalizować określony typ próbki. Poniższy zdekompilowany kod odzwierciedla to. Dodano komentarze, aby wyświetlić bardzo dobrze wygenerowane ciągi.

W nadmiarowym dekompilowanym kodzie widzimy, że każdy pisloader jest generowany w następującym wierszu, który jest nieuchronnie wywoływany w celu utworzenia klucza rejestru systemu Windows Uruchom na komputerze.

cmd.exe /c reg pożyczka HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

To selektywne polecenie najprawdopodobniej połączy klucz rejestru HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm, który ma wartość „%appdata%lsm.exe”. Po ustawieniu tak ładnego klucza szkodliwe oprogramowanie odszyfrowuje dwa bloby, które odwołują się do danych przy użyciu jednobajtowego XOR równego 0x54. Otrzymany dokument można zapisać w bazie danych na ścieżce %appdata%lsm.exe.

Po zapisaniu pliku wirus wykonuje napisany w domu plik lsm zawierający produktywny plik ataku.Pisloader z wąskim gardłem.

Ładunek

wekby malware

Nadchodzący okaz został niedawno odkryty i nazwany w poniższej analizie:

Ładunki mogą być mocno zaciemnione w połączeniu z metodą ROP i zestawem operacyjnym instrukcji zbierania śmieci. W poniższym przykładzie kod, który według ekspertów jest całkowicie czerwony w porównaniu z innymi nowymi kodami, niewiele lub wręcz bardzo zapobiega przeprojektowaniu przykładu. Ten kod można oczyścić jako śmieci i zignorować. Ostatnia część funkcji jest organicznie pogratulowana na zielono, co oznacza, że ​​dwie zmiany funkcji zostały wepchnięte na bieżący stos, po czym nastąpiła pojedyncza instrukcja odzyskiwania. Ta pętla najpierw pokazuje kod wykonania z przebiegiem zerowym, który, gdy wszystkie elementy elektroniczne są wyłączone, zwykle wskazuje kod dostępu wykonania na „next_function”. Ta metoda jest stosowana podczas wykonywania ładunku, co utrudnia analizę zestawu.

wekby malware

Złośliwe oprogramowanie może być w rzeczywistości całkiem proste, jeśli klienci ignorują zaciemnianie i niepożądany kod. Może zacząć się od wygenerowania losowo wybranego 10-bajtowego kodu alfanumerycznego.head. Reszta danych jest w rzeczywistości zabezpieczona base32 z usuniętym dopełnieniem. Te informacje są rzeczywiście wykorzystywane do wypełnienia każdej subdomeny używanej w kolejnym zapytaniu DNS w celu uzyskania rekordu TXT. Użyj

DNS w przypadkach, w których protokół C2 nie zawsze był powszechnie używany przez autorów szkodliwego oprogramowania, już w przeszłości. Godne uwagi wyjątki to:

  • FramworkPOS
  • C3PRO-szop pracz
  • FeederBot
  • Śmierć
  • Warianty PlugX
  • Używanie DNS a jako C2 pozwala pisloaderowi ominąć niektóre produkty bezpieczeństwa, które wydają się niewłaściwie sprawdzać tego rodzaju ruch.

    Przykład Pisloader prawdopodobnie będzie okresowo wysyłał świetny przykład, który powinien składać się z dobrego, solidnego 4-bajtowego losowego ciągu pisanego wielkimi literami, używanego jako ładunek. Zobacz przykład poniżej:

    Znalezione złośliwe oprogramowanie oczekuje, że w określonym narzędziu zostanie ustawiona kombinacja warunków odpowiedzi DNS lub ten konkretny pisloader obecnie ignoruje odpowiedź DNS. Naprawdę należy zainstalować następujące banery DNS. Jeśli często ustawiane są dodatkowe flagi, odpowiedź rzeczywiście zostanie zignorowana. Pożądany

  • Rekurencja

  • Odpowiedź
  • Dostępna rekurencja
  • Pytania dotyczące kariery zawsze powinny być ustawione na 0x1. Pole Rekordy zasobów odpowiedzi musi zawierać wszelkie korzyści zaczynające się od 0x1. Ponadto Twoja aktualna subdomena problematycznego zapytania naprawdę powinna odpowiadać unikalnemu wymaganiu DNS.

    Zalecane: Reimage

    Czy masz wolno działający komputer? Jeśli tak, być może nadszedł czas, aby rozważyć oprogramowanie do naprawy systemu Windows. Reimage jest łatwy w użyciu i szybko naprawi typowe błędy na komputerze. To oprogramowanie może nawet odzyskać pliki z uszkodzonych dysków twardych lub uszkodzonych pamięci USB. Ma również możliwość usuwania wirusów jednym kliknięciem przycisku!

  • Krok 1: Pobierz i zainstaluj Reimage
  • Krok 2: Uruchom program i wybierz urządzenie, które chcesz przeskanować
  • Krok 3: Kliknij przycisk Skanuj, aby rozpocząć proces skanowania

  • Pobierz narzędzie do naprawy komputera Reimage. Natychmiast napraw błędy komputera i popraw wydajność.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО