Etapas De Eliminação De Malware Do Wekby

Na semana passada, alguns usuários relataram à humanidade que encontraram malware wekby.

Seu computador está lento? Reimage é o único software que pode corrigir uma ampla gama de problemas relacionados ao Windows.

Esta mensagem também pode ser encontrada em: 日本語 (japonês)

Nas últimas semanas, vimos um ataque do grupo Wekby contra uma organização dos EUA. Wekby é um conjunto que parece ter sido há anos e é destinado a vários setores, incluindo saúde, telecomunicações, aeroespacial, defesa e alta tecnologia. A banda é conhecida por ajudá-lo a analisar as vantagens dos exploits recém-lançados rapidamente após esses exploits se tornarem disponíveis, como o exploit de flash adobe de dia zero do HackingTeam.

De acordo com a equipe do Wekby, o adware e spyware usado está relacionado à família de malware HTTPBrowser e usa consultas DNS como sistema de comando e controle. Além disso, técnicas de ofuscação de sortimento são normalmente usadas durante o período de análise e interferem nos mecanismos de busca. Com base nos metadados encontrados durante a portabilidade de nossas próprias amostras discutidas, a Palo Alto Networks designou esse malware como “pisloader”.

Infraestrutura

O Pisloader ou adware foi distribuído pela família HTTP extra a partir do seguinte URL. No momento de escrever este artigo, este URL ainda estava ativo.

Este arquivo detectado foi provavelmente identificado como uma instância de malware específico para amigos e família Poison Ivy com os seguintes dados do sistema:

Endereço de comando e/ou controle: intranetbabcam[.]com
Comande e mantenha o controle na porta: Administrador
Mutex: 80
Senha: )!VoqA.Domains i5

Todas as vistas que viveram durante este ataque foram registradas pouco antes da operação. Este ataque afetou os seguintes domínios:

conta-gotas inicial

O seguinte espécime foi originalmente realizado e será referido através de análises adicionais:

As seguintes propriedades de metadados podem ser usadas neste arquivo específico. A identidade “pisload2” tornou possível identificar essa família de malware.

Um conta-gotas respeitável contém um código muito simples, que é, sem dúvida, geralmente responsável por salvar uma chave de registro Executar especializada, bem como excluir e executar o executável interno do Windows. Quando ocorria uma ofuscação limitada, os autores da Internet quebravam as strings em substrings muito mais compactas e usavam omitindo essas pessoas: “strcpy” e “strcat” para recriar cada uma delas antes do uso. Eles também usaram uma mesma abordagem específica para gerar lixo, enquanto as strings que nunca foram usadas poderiam ser encontradas. Espera-se que isso identifique e analise um tipo garantido de amostra. O código logo após a descompilação reflete isso. Comentários adicionados para exibir strings totalmente geradas.

Em um código descompilado específico acima, vemos que cada pisloader diferente gera a seguinte linha, sabendo que é eventualmente chamada para criar cada chave de registro Run.

cmd.exe /c reg concede um empréstimo HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Esse comando específico provavelmente definirá a chave de registro HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm que contém o valor “%appdata%lsm.exe”. Depois que essa chave é definida, geralmente o malware começa a descriptografar os dois blobs que se referem aos dados, criando um XOR de um byte de 0x54. Os dados recebidos podem ser gravados que podem ser arquivados ao longo do passeio %appdata%lsm.exe.

Depois de gravar este arquivo, o vírus executa o arquivo lsm recém-escrito, composto por um arquivo de ataque útil.Bottleneck pisloader.

Carga útil

wekby malware

Um próximo exemplo foi descoberto e nomeado de volta na seguinte análise:

As cargas úteis podem ser incrivelmente ofuscadas com o método ROP, além de seu próprio conjunto de instruções de escolha de lixo. No exemplo abaixo, nosso código que é completamente vermelho comparado aos outros códigos não faz quase nada para impedir que o exercício seja reengenharia. Este código pode ser filtrado como lixo e perdido. O final da função é, sem dúvida, organicamente destacado em verde, indicando que duas mudanças de função foram movidas para a pilha, seguidas por essa única instrução de retorno. Este loop para começar mostra o código de execução com uma bela função nula, que, quando todos os eletrônicos são desligados, geralmente aponta um novo código de execução para “next_function”. Essa ferramenta é usada durante a execução da carga útil, o que infelizmente dificulta a análise estática.

wekby malware

O malware é realmente bastante claro se você ignorar a ofuscação e o código desconfortável. Pode começar formando um código alfanumérico aleatório de 10 bytes.head. O restante dos dados é codificado em base32 com preenchimento removido. Essas informações são usadas para preencher qualquer subdomínio usado na consulta DNS subsequente para o registro TXT. Usar

DNS se o protocolo C2 emprega não foi amplamente utilizado por autores de trojans no passado. Omissões notáveis ​​são:

  • FrameworkPOS
  • C3PRO-guaxinim
  • FeederBot
  • Morte
  • Variantes do PlugX
  • Usar o DNS a como C2 permite que o pisloader ignore alguns produtos de saúde e segurança que podem não examinar adequadamente esse tráfego.

    O Pisloader de exemplo provavelmente fornecerá um sinalizador periodicamente, que deve ser composto de um cabo aleatório de 4 bytes em maiúsculas usado como carga útil. Veja a ilustração abaixo:

    O malware detectado espera que um pareamento de aspectos de respostas de DNS para você seja definido em uma determinada arma, ou o pisloader está ignorando a resposta de DNS. Os seguintes banners DNS devem ser instalados. Se mais sinalizadores forem definidos, a resposta geralmente será ignorada. Desejado

  • Recursão

  • Responder
  • Recursão disponível
  • As perguntas profissionais devem ser definidas como 0x1. O campo Registros de Recursos de Resposta deve se desenvolver em qualquer valor a partir de 0x1. Além disso, o subdomínio da consulta problemática deve corresponder ao requisito exclusivo de DNS.

    Recomendado: Reimage

    Você tem um computador lento? Nesse caso, talvez seja hora de considerar algum software de reparo do Windows. Reimage é fácil de usar e corrigirá erros comuns em seu PC rapidamente. Este software pode até recuperar arquivos de discos rígidos corrompidos ou pen drives danificados. Ele também tem a capacidade de eliminar vírus com um clique de um botão!

  • Etapa 1: baixar e instalar o Reimage
  • Etapa 2: inicie o programa e selecione o dispositivo que deseja verificar
  • Etapa 3: clique no botão Digitalizar para iniciar o processo de digitalização

  • Obtenha a Ferramenta de reparo do PC Reimage. Corrija instantaneamente os erros do seu computador e melhore o desempenho.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО