Steg För Eliminering Av Skadlig Programvara Från Weekby

Förra veckan rapporterade många användare till oss att de stött på wekby malware.

Har din dator gått långsamt? Reimage är den enda programvaran som kan fixa ett stort antal Windows-relaterade problem.

Det här meddelandet kan också vanligtvis hittas i: 日本語 (japanska)

Under de senaste veckorna har många sett en attack från hela Wekby-gruppen som riktar sig mot en amerikansk tjänst. Wekby är en grupp som tror sig ha funnits i månader och månader och som riktar sig till olika företag inklusive sjukvård, telekom, flyg, försvar men också högteknologi. Gruppen hänvisas till som för att hjälpa dig att dra fördelar kopplade till nyligen släppta exploits kort efter att alla dessa exploits blivit tillgängliga, som vanligtvis HackingTeam zero-day flash exploit.

I vanliga fall enligt Wekby-teamet anses den skadliga programvaran som används relaterad till HTTPBrowsers malware-residens och använder DNS-sökningar som den perfekta kommando- och kontrollmekanismen. Dessutom används sortimentsobfuskeringstekniker under analysperioden för att störa genom att ha sökmotorer. Baserat på metadata som hittades när de diskuterade recepten portades, döpte Palo Alto Networks detta spionprogram till “pisloader”.

Infrastruktur

Pisloader skadlig programvara postades av familjen via HTTP på följande URL. Vid tidpunkten för när vi skrev vår artikel var den här webbadressen mycket aktiv.

Den här upptäckta filen identifierades sannolikt jämfört med en instans av den utbredda skadliga programvaran Friends and Family Poison Ivy som lider av följande konfigurationsdata:

Kommandera och/eller hantera adress: intranetbabcam[.]com
Kommando- och kontrollport: Administratör
Mutex: 80
Lösenord: )!VoqA.Domains i5

Alla vittnen som stannade under denna attack registrerades kort före operationen. Denna attack överväldigade följande domäner:

Initial pipett

Klibningen med provet upptäcktes ursprungligen och skulle mycket väl kunna refereras till i en mer fullständig analys:

Följande metadataegenskaper används i den här filen. “pisload2”-id gjorde det möjligt att identifiera hela skadlig programvara.

En riktig dropper innehåller mycket enkel kod, som vanligtvis är ansvarig för att spara en specifik Run-datornyckel, samt radera tillsammans med att köra den inbyggda Windows-körbara filen. När begränsad förvirring inträffade, föll internetförfattare isär strängar till mycket mer strömlinjeformade delsträngar och använde utelämnade namnen “strcpy” såväl som “strcat” för att återskapa dem innan övervägande. De använde också samma metod för att generera skräp där inlägg som aldrig användes alltid kunde hittas. Detta kommer sannolikt att ta reda på och analysera en viss typ av prov. Följande dekompilerade kod avslöjar detta. Lade till kommentarer för att visa 100 procent genererade strängar.

I den dekompilerade koden större ser vi att varje pisloader kan göra följande rad, som efter en period anropas för att skapa registernyckeln för Kör persondator.

cmd.exe /c reg lend HKCUSoftwareMicrosoftWindowsCurrentVersionKör Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Det här specialiserade kommandot kommer med största sannolikhet att placera registernyckeln HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm som är sammansatt av värdet “%appdata%lsm.exe”. När en sådan faktisk nyckel har ställts in, börjar skadlig programvara att dekryptera de två klumparna som hänför sig till data med en fantastisk en-byte XOR på 0x54. De mottagna detaljerna kan skrivas till spara längs sökvägen %appdata%lsm.exe.

Efter att ha skrivit dem-filen kör viruset den nyskrivna lsm-filen som innehåller en värdefull attackfil. Bottleneck pisloader.

Nödlast

wekby malware

Ett kommande exemplar har nyligen upptäckts och namngetts i den efterföljande analysen:

Nyttlaster kan vara mycket förvirrade genom att lida av ROP-metoden och din individuella uppsättning instruktioner för sophämtning. I exemplet nedan gör koden som kan vara helt röd jämfört med andra koder ingen av dem för att förhindra att exemplet tydligt omarbetas. Denna kod kan blockeras som skräp och ignoreras. Funktionens vind visas organiskt i grönt, vilket indikerar att två förmågasskiften har skjutits upp på hela stacken, följt av ett enda ROI-uttalande. Denna loop visar först just denna exekveringskod med en noll gör susen, som, när all elektronik är avstängd, vanligtvis pekar exekveringsprogrammeringen till “next_function”. Denna metod är gammal under körning av nyttolast, vilket gör uppsättningsanalys svår.

wekby malware

Skadlig programvara kan faktiskt vara ganska enkel om du sedan ignorerar förvirring och oönskad kod. Det kan börja med att generera en mänsklig bedömning 10-byte alfanumerisk code.head. Resten med data är faktiskt base32 säkrad med stoppning borttagen. Denna information används ofta för att fylla i varje underdomän som används i den efterföljande DNS-frågan som är avsedd för TXT-posten. Använd

DNS skulle det vara har C2-protokollet inte använts särskilt mycket av skadlig programvara här tidigare. Anmärkningsvärda undantag är:

  • FrameworkPOS
  • C3PRO-tvättbjörn
  • FeederBot
  • Död
  • PlugX-varianter
  • Att använda DNS a som C2 gör det möjligt med pisloader att kringgå vissa säkerhetsprodukter som många kanske inte inspekterar deras trafik ordentligt.

    Exempel Pisloader kommer förmodligen att skicka ett lysande exempel med jämna mellanrum, som bör bestå av den slumpmässiga 4-byte slumpmässiga versalsträngen som används i nyttolasten. Se exempel nedan:

    Den lokaliserade skadliga programvaran förväntar sig att en kombination av funktioner i DNS-svar är tv i ett visst verktyg, eller så ignorerar den exakta pisloadern för närvarande DNS-svaret. Följande DNS-banner ska alltid installeras. Om ytterligare flaggor ställs in kommer svaret verkligen att ignoreras. Önskat

  • Rekursion

  • Svar
  • Rekursion tillgänglig
  • Frågor karriär bör bli inställd på 0x1. Fältet Response Resource Records måste vara valfritt värde från 0x1. Dessutom måste vanligtvis underdomänen för den problematiska frågan matcha det unika DNS-kravet.

    Rekommenderas: Reimage

    Har du en dator som går långsamt? Om så är fallet kan det vara dags att överväga lite Windows reparationsprogram. Reimage är lätt att använda och fixar vanliga fel på din PC på nolltid. Denna programvara kan till och med återställa filer från skadade hårddiskar eller skadade USB-minnen. Den har också förmågan att utplåna virus med ett enda klick!

  • Steg 1: Ladda ner och installera Reimage
  • Steg 2: Starta programmet och välj den enhet du vill skanna
  • Steg 3: Klicka på knappen Skanna för att starta skanningsprocessen

  • Skaffa Reimage PC Repair Tool. Åtgärda dina datorfel omedelbart och förbättra prestandan.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    웩비 악성코드
    Wekby вредоносное ПО