Как проверить, что вы пользуетесь вредоносным ПО Pinkslipbot?

Реклама

Время от времени новый вариант вредоносного ПО появляется как быстрое напоминание о том, что ставки безопасности постоянно растут. Один из них - банковский троян QakBot / Pinkslipbot. Вредоносные программы, а не контент, собирающий банковские учетные данные, теперь могут задерживаться и выступать в роли управляющего сервера - еще долго после того, как продукт безопасности прекратит свое первоначальное назначение.

Как OakBot / Pinkslipbot остается активным? И как вы можете полностью удалить его из вашей системы?

QakBot / Pinkslipbot

Этот банковский троян известен под двумя именами: QakBot и Pinkslipbot. Сама вредоносная программа не нова. Впервые он был развернут в конце 2000-х годов, но все еще вызывает проблемы спустя десятилетие. Теперь троянец получил обновление, которое продлевает злонамеренную активность, даже если продукт безопасности сокращает его первоначальное назначение.

Инфекция использует универсальный Plug-and-Play (UPnP), чтобы открывать порты и разрешать входящие соединения от любого в Интернете. Pinkslipbot затем используется для сбора банковских учетных данных. Обычный набор вредоносных инструментов: кейлоггеры, похитители паролей, атаки браузеров MITM, кража цифровых сертификатов, учетные данные FTP и POP3 и многое другое. Вредонос управляет ботнетом, который, по оценкам, содержит более 500 000 компьютеров. (

Что такое ботнет? Ваш компьютер зомби? А что такое компьютер зомби? [MakeUseOf Объясняет]Вы когда-нибудь задумывались, откуда весь интернет-спам? Вы, вероятно, получаете сотни спам-фильтрованных нежелательных писем каждый день. Значит ли это, что там сидят сотни и тысячи людей ... Прочитайте больше )

Вредоносное ПО в основном сосредоточено на банковском секторе США, где 89 процентов зараженных устройств находятся в казначейских, корпоративных или коммерческих банковских учреждениях.

Новый вариант

Исследователи в McAfee Labs обнаруженный новый вариант Pinkslipbot.

«Поскольку UPnP предполагает, что локальные приложения и устройства заслуживают доверия, он не предлагает никаких средств защиты и подвержен злоупотреблениям со стороны любой зараженной машины в сети. Мы наблюдали несколько прокси-серверов управления Pinkslipbot, размещенных на разных компьютерах в одном доме сеть, а также то, что кажется публичной точкой доступа Wi-Fi », - говорит исследователь McAfee Anti-Malware Sanchit Karve. «Насколько нам известно, Pinkslipbot является первым вредоносным ПО, использующим зараженные машины в качестве серверов управления на основе HTTPS, и вторым вредоносным ПО на основе исполняемых файлов, использующим UPnP для переадресации портов после печально известный червь Conficker в 2008."

Следовательно, исследовательская группа McAfee (и другие) пытаются установить, каким образом зараженный компьютер становится прокси-сервером. Исследователи полагают, что три фактора играют важную роль:

1. IP-адрес, расположенный в Северной Америке.
2. Высокоскоростное подключение к интернету.
3. Возможность открывать порты на интернет-шлюзе с помощью UPnP.

Например, вредоносная программа загружает изображение с помощью сервиса Comcast'sSpeed ​​Test, чтобы перепроверить наличие достаточной пропускной способности.

Как только Pinkslipbot находит подходящую целевую машину, вредоносная программа выдает пакет протокола Simple Service Discovery Protocol для поиска интернет-шлюзов (IGD). В свою очередь, IGD проверяется на наличие соединения, и положительный результат заключается в создании правил переадресации портов.

В результате, как только автор вредоносного ПО решает, подходит ли компьютер для заражения, троянский бинарный файл загружается и развертывается. Это отвечает за связь прокси-сервера управления.

Трудно уничтожить

Даже если ваш антивирус или антивирусные программы успешно обнаружили и удалили QakBot / Pinkslipbot, есть вероятность, что он все еще служит прокси-сервером для управления вредоносным ПО. Ваш компьютер вполне может быть уязвимым, даже если вы этого не поймете.

«Правила переадресации портов, созданные Pinkslipbot, слишком универсальны, чтобы их можно было автоматически удалить без риска случайных неправильных настроек сети. А поскольку большинство вредоносных программ не мешают переадресации портов, решения для защиты от вредоносных программ могут не отменить такие изменения », - говорит Карве. «К сожалению, это означает, что ваш компьютер все еще может быть уязвим для внешних атак, даже если ваш продукт для защиты от вредоносных программ успешно удалил все двоичные файлы Pinkslipbot из вашей системы».

Вредоносная программа обладает возможностями червя Вирусы, шпионские программы, вредоносные программы и т. Д. Объяснил: понимание интернет-угрозКогда вы начинаете задумываться обо всех вещах, которые могут пойти не так, когда вы просматриваете Интернет, сеть начинает выглядеть как довольно страшное место. Прочитайте больше Это означает, что он может самовоспроизводиться через общие сетевые диски и другие съемные носители. По словам исследователей IBM X-ForceЭто вызвало блокировки Active Directory (AD), заставляя сотрудников уязвимых банковских организаций отключаться на несколько часов подряд.

Краткое руководство по удалению

McAfee выпустили Средство обнаружения прокси-сервера и переадресации портов Pinkslipbot Control Server (или PCSPDPFRT, для краткости... я шучу). Инструмент доступен для скачивания Прямо здесь. Кроме того, доступно краткое руководство пользователя Вот [PDF].

Загрузив инструмент, щелкните правой кнопкой мыши и Запустить от имени администратора.

Инструмент автоматически сканирует вашу систему в «режиме обнаружения». Если злонамеренных действий нет, инструмент автоматически закроется без каких-либо изменений в вашей системе или конфигурации маршрутизатора.

Однако, если инструмент обнаруживает вредоносный элемент, вы можете просто использовать /del Команда для отключения и удаления правил переадресации портов.

Как избежать обнаружения

Несколько удивительно видеть банковского трояна такой сложности.

Помимо вышеупомянутого червя Conficker «информация о злонамеренном использовании UPnP вредоносными программами недостаточна». Что более важно, это четкий сигнал о том, что устройства IoT, использующие UPnP, являются огромной целью (и уязвимостью). Поскольку устройства IoT становятся повсеместными, вы должны признать, что у киберпреступников есть прекрасная возможность. (Даже ваш холодильник в опасности! Умный холодильник Samsung только что получил Pwned. Как насчет остальной части вашего умного дома?Уязвимость в интеллектуальном холодильнике Samsung была обнаружена британской информационной компанией Pen Test Parters. Внедрение Samsung шифрования SSL не проверяет действительность сертификатов. Прочитайте больше )

Но хотя Pinkslipbot переходит в сложный для удаления вариант вредоносного ПО, он по-прежнему занимает только 10 место среди самых распространенных финансовых типов вредоносных программ. Первое место по-прежнему занимает Клиент Максимус.

Смягчение последствий остается ключом к предотвращению финансовых вредоносных программ, будь то бизнес, предприятие или домашний пользователь. Основное образование против фишинга Как определить фишинговую электронную почтуПоймать фишинговое письмо сложно! Мошенники изображают из себя PayPal или Amazon, пытаясь украсть ваш пароль и информацию о кредитной карте, если их обман почти идеален. Мы покажем вам, как обнаружить мошенничество. Прочитайте больше и другие формы адресной вредоносной деятельности Как мошенники используют фишинговые письма для нацеливания студентовКоличество мошенничеств, направленных на студентов, растет, и многие попадают в эти ловушки. Вот что вам нужно знать и что вы должны делать, чтобы избежать их. Прочитайте больше пойти массивным путем, чтобы остановить этот тип инфекции, входящей в организацию - или даже в ваш дом.

Пострадавшие от Pinkslipbot? Это было дома или в вашей организации? Вы были заблокированы из вашей системы? Дайте нам знать ваш опыт ниже!

Имиджевый кредит: akocharm через Shutterstock