A PSIXBOT VERZIÓI

Olvasási idő: 4 jegyzőkönyv

A PSIXBOT bemutatása:

A PsiXBot egy adatlopó trójai, amely képes bizalmas adatokat és jelszavakat gyűjteni az áldozat számítógépéről. Cookie-kat lophat, bejelentkezési adatokat/jelszavakat kinyerhet az olyan alkalmazásokból, mint a Firefox és a Microsoft Outlook, rögzítheti az áldozat billentyűleütéseit, lehetővé teszi a bűnözők számára az áldozat asztalának távoli megtekintését/interakcióját, és még az áldozat számítógépét is hozzáadhatja egy botnethez. Leggyakrabban fertőzött e-mail mellékleteken, a botot tartalmazó online hirdetéseken és más social engineering módszerekkel terjed.

Az eredeti PsixBot rosszindulatú program 2017 novemberében jelent meg, de jelentős fejlődésen ment keresztül, mielőtt 2019-ben béta formátumba került volna. Azóta továbbfejlesztették, és jelenleg a 1.1.0.4 februári 2020-es verziója áll:

PsixBot was generated in .NET framework. This blog takes you through the various iterations of PsixBot to illustrate how online criminals constantly update their malware to improve its performance and features.

A PsixBot viselkedése

A PsixBot megváltoztatja a rendszertanúsítvány-beállításokat, ami gyakorlatilag korlátlan felhasználói hozzáférési jogosultságot biztosít a gazdagépen:

Hozzáadott kulcsok:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Hozzáadott értékek:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Hozzáadott fájlok:

C:Dokumentumok és beállításokAdministratorApplication Data

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

béta 1.0.0

A blogban tárgyalt PsixBot első verziója a Beta 1.0.0, a 11-es alaposztályú. Minden osztálynak megvan a maga egyéni feladata. A következő alaposztályok a PsixBot összes verziójában használatosak:

• Servertalk – a globális változó inicializálására, az anyahajó szerverrel való kapcsolat létrehozására és az eredmények oda-vissza küldésére szolgál.
• RunInMemory – a fájl tényleges végrehajtására szolgál.
• sysinfo – a felhasználó rendszerével kapcsolatos információk megszerzésére szolgál, beleértve a víruskereső nevét, a CPU-t, a Windows verziót, a felhasználó típusát és a felhasználói engedélyeket.
• CatchEndSession – rejtett autorunok létrehozására szolgál.
• DeleteAttrib – used to kill the system’s víruskereső szoftver, Windows Explorer, and any system error alerts.
• IsAdmin – az adminisztrátori csoport tagságát feltételezi.
• IsVm – észleli a virtuális gépek jelenlétét.
• ResolveBit – a felhasználótól érkező DNS-kérések megoldására szolgál.
• RC4 – az adatok titkosítására és visszafejtésére használt algoritmus.
• felszerel – telepíti a bot fájlt, és beállítja a fájl biztonsági és frissítési moduljait.

változat 1.0.2

A béta 1.0.2 megtartotta az első verzió alapvető osztályfunkcióit, de néhány osztályt átnevezett a következőképpen:

• ServerTalk – névre keresztelték át CpWorker
• RunInMemory – névre keresztelték át MemoryModulesWorker
• SysInfo – névre keresztelték át SysHelper

… és hozzáadta a következő osztályt:

• DNSWorker – a gazdagép bejegyzésének lekérésére és a gazdagép ping-elésére szolgál, hogy ellenőrizze, hogy fent van-e vagy sem.

változat 1.1

Az 1.1-es verzió ismét megtartotta ugyanazt az osztálystruktúrát, mint elődje, de hozzáadta a következő feladatot a szolgáltatások listájához:

• Forfg – a temp változó elérési útjának beszerzéséhez használja, állítsa be a DLL-könyvtárat, és írja be egy .dat fájlba:

változat 1.1.0.2

Az 1.1.0.2-es verzió frissítést látott, amely a FORFG funkciót kombinálták a többi szolgáltatáslistával. Az összes többi óra és tevékenység ugyanaz maradt.

 

 

változat 1.1.0.4

Az alaposztályok ismét ugyanazok maradtak, mint az előző verzióban, de a következő fontos osztály hozzáadásával

• GzipWebClient – a bot által letöltött Gzip-fájlok kicsomagolására szolgál:

 

 

 

 

 

Funkciólista frissítések

Menetvágó – Hívja meg a fájl futtatásához használt szál függvényt és futtassa a memóriát (RunInMemory).

Bot Key - A PsixBot-nak van egy közös, kemény kódjad kulcs minden verzióban:

Hálózati tevékenységek– A PsixBot kezdetben a Google DNS-t használja, majd később a saját DNS-ével kommunikál:

Alapmodulok verziónként

FeatersList verziónként

Hálózati forgalom

A PsixBot először csatlakozik a Google DNS-hez, majd csatlakozik saját DNS-kiszolgálójához a címen greentowns.hk:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

NOB

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

 

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

 

A poszt A PSIXBOT VERZIÓI jelent meg először Comodo News és Internet Security Information.

• Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
• CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
• Forrás: https://blog.comodo.com/comodo-news/versions-of-psixbot/