زمان خواندن: 4 دقیقه
معرفی PSIXBOT:
PsiXBot یک تروجان سرقت اطلاعات است که می تواند داده ها و رمزهای عبور محرمانه را از رایانه قربانی جمع آوری کند. میتواند کوکیها را بدزدد، لاگینها/گذرواژهها را از برنامههایی مانند فایرفاکس و مایکروسافت اوت لوک استخراج کند، ضربههای کلید قربانی را ضبط کند، به مجرمان اجازه دهد از راه دور دسکتاپ قربانی را مشاهده/تعامل کنند، و حتی میتواند رایانه قربانی را به باتنت اضافه کند. اغلب از طریق پیوست های ایمیل آلوده، از طریق تبلیغات آنلاین حاوی ربات، و از طریق سایر روش های مهندسی اجتماعی منتشر می شود.
بدافزار اصلی PsixBot در نوامبر 2017 ظاهر شد، اما قبل از رسیدن به فرمت بتا در سال 2019، توسعه قابل توجهی را تجربه کرد. از آن زمان به بعد توسعه یافته است و در حال حاضر در نسخه 1.1.0.4 در فوریه 2020 قرار دارد:
PsixBot در چارچوب دات نت تولید شد. این وبلاگ شما را از طریق تکرارهای مختلف PsixBot راهنمایی می کند تا نشان دهد که چگونه مجرمان آنلاین مدام خود را به روز می کنند. نرم افزارهای مخرب برای بهبود عملکرد و ویژگی های آن.
رفتار PsixBot
PsixBot تنظیمات گواهینامه سیستم را تغییر می دهد، که به آن حق دسترسی کاربر نامحدود در دستگاه میزبان را می دهد:
کلیدهای اضافه شده:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
ارزش های اضافه شده:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
فایل های اضافه شده:
ج: اسناد و تنظیماتAdministratorApplication Data
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
بتا 1.0.0
اولین نسخه PsixBot که در این وبلاگ پوشش داده شده است، بتا 1.0.0 با کلاس اصلی 11 است. هر کلاس وظایف خاص خود را دارد. کلاس های اصلی زیر در تمام نسخه های PsixBot استفاده می شود:
- Servertalk – برای مقداردهی اولیه متغیر سراسری، ایجاد ارتباط با سرور مادرشیپ و ارسال نتایج به عقب و جلو استفاده می شود.
- RunInMemory – برای اجرای واقعی فایل استفاده می شود.
- sysinfo – برای به دست آوردن اطلاعات مربوط به سیستم کاربر، از جمله نام آنتی ویروس، CPU، نسخه ویندوز، نوع کاربر و مجوزهای کاربر استفاده می شود.
- CatchEndSession - برای ایجاد اتوران های مخفی استفاده می شود.
- DeleteAttrib - برای از بین بردن سیستم استفاده می شود نرم افزار آنتی ویروس، Windows Explorer و هر گونه هشدار خطای سیستم.
- IsAdmin - برای فرض عضویت در گروه مدیریت استفاده می شود.
- IsVm - وجود هر گونه ماشین مجازی را تشخیص می دهد.
- ResolveBit - برای حل و فصل درخواست های DNS از کاربر استفاده می شود.
- RC4 - الگوریتم مورد استفاده برای رمزگذاری و رمزگشایی داده ها.
- نصب – فایل ربات را نصب می کند و ماژول های امنیتی و به روز رسانی فایل را تنظیم می کند.
نسخه 1.0.2
بتا 1.0.2 عملکرد کلاس اولیه نسخه اول را حفظ کرد، اما نام برخی از کلاس ها را به شرح زیر تغییر داد:
- ServerTalk - تغییر نام داد CpWorker
- RunInMemory – تغییر نام داد MemoryModulesWorker
- SysInfo - تغییر نام داد SysHelper
… و کلاس زیر را اضافه کرد:
- DNSWorker – برای دریافت ورودی هاست و پینگ کردن هاست برای بررسی بالا بودن یا نبودن آن استفاده می شود.
نسخه 1.1
نسخه 1.1 دوباره همان ساختار کلاس قبلی خود را حفظ کرد اما وظیفه زیر را به لیست ویژگی ها اضافه کرد:
- Forfg - برای بدست آوردن مسیر متغیر temp استفاده می شود، دایرکتوری DLL را تنظیم کرده و آن را در یک فایل .dat بنویسید:
نسخه 1.1.0.2
نسخه 1.1.0.2 شاهد بروز رسانی بود که به موجب آن FORFG ویژگی با لیست ویژگی های دیگر ترکیب شد. تمام کلاس ها و فعالیت های دیگر به همان شکل باقی ماندند.
نسخه 1.1.0.4
مجدداً کلاس های پایه مانند نسخه قبلی باقی ماندند اما با اضافه شدن کلاس های مهم زیر
- GzipWebClient – برای از حالت فشرده خارج کردن فایل های Gzip دانلود شده توسط ربات استفاده می شود:
به روز رسانی لیست ویژگی ها
Threader - تابع thread مورد استفاده برای اجرای فایل را فراخوانی کنید و آن را در حافظه اجرا کنید (RunInMemory).
کلید ربات - PsixBot یک کد سخت مشترک داردکلید d در تمامی نسخه ها:
فعالیت های شبکه– PsixBot ابتدا از Google DNS استفاده می کند و سپس با DNS خود ارتباط برقرار می کند:
ماژول های اصلی در هر نسخه
FeautersList در هر نسخه
ترافیک شبکه
PsixBot ابتدا به Google DNS متصل می شود و سپس به سرور DNS خود در آن متصل می شود Greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
کمیته بین المللی المپیک
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
پست نسخه های PSIXBOT به نظر می رسد برای اولین بار در اخبار Comodo و اطلاعات امنیت اینترنت.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- درباره ما
- دسترسی
- فعالیت ها
- اضافه
- اضافه
- مدیر سایت
- الگوریتم
- معرفی
- تحلیل
- آنتی ویروس
- هر جا
- برنامه های کاربردی
- قبل از
- بتا
- سیاه پوست
- مسدود کردن
- بلاگ
- ربات
- بات نت
- توانا
- گواهی نامه
- کلاس
- کلاس ها
- ترکیب شده
- مشترک
- کامپیوتر
- ارتباط
- به طور مداوم
- بیسکویت ها
- هسته
- ایجاد
- جنایتکاران
- در حال حاضر
- داده ها
- دسکتاپ
- توسعه
- پروژه
- نمایش دادن
- دی ان اس
- اسناد و مدارک
- هر
- پست الکترونیک
- مهندسی
- ویژگی
- امکانات
- فوریه 2020
- فایرفاکس
- نام خانوادگی
- پیروی
- به دنبال آن است
- قالب
- چارچوب
- رایگان
- از جانب
- تابع
- قابلیت
- بیشتر
- تولید
- جهانی
- گوگل
- گروه
- جمع آوری
- چگونه
- HTTPS
- تصویر
- مهم
- بهبود
- از جمله
- فرد
- اطلاعات
- اینترنت
- امنیت اینترنت
- IT
- کلید
- فهرست
- دستگاه
- ماشین آلات
- نرم افزارهای مخرب
- عضویت
- حافظه
- روش
- مایکروسافت
- اکثر
- خالص
- شبکه
- اخبار
- آنلاین
- دیگر
- چشم انداز
- خود
- کلمه عبور
- کارایی
- پینگ
- حضور
- قبلی
- رکورد
- باقی مانده است
- درخواست
- نتایج
- دویدن
- همان
- تیم امنیت لاتاری
- تنظیم
- قابل توجه
- پس از
- آگاهی
- مهندسی اجتماعی
- برخی از
- گسترش
- استاندارد
- می ایستد
- سیستم
- La
- از طریق
- زمان
- ترافیک
- تروجان
- نا محدود
- بروزرسانی
- مختلف
- نسخه
- مجازی
- چه
- پنجره
