Tempo de leitura: 4 minutos
Introdução do PSIXBOT:
PsiXBot é um trojan de roubo de dados capaz de coletar dados confidenciais e senhas do computador da vítima. Ele pode roubar cookies, extrair logins/senhas de aplicativos como Firefox e Microsoft Outlook, registrar as teclas digitadas pela vítima, permitir que criminosos visualizem/interajam remotamente com a área de trabalho da vítima e pode até adicionar o computador da vítima a um botnet. É mais frequentemente espalhado por meio de anexos de e-mail infectados, por meio de anúncios on-line que contêm o bot e por outros métodos de engenharia social.
O malware PsixBot original surgiu em novembro de 2017, mas passou por um desenvolvimento significativo antes de chegar ao formato beta em 2019. Desde então, foi desenvolvido e atualmente está na versão 1.1.0.4 em fevereiro de 2020:
O PsixBot foi gerado no framework .NET. Este blog leva você pelas várias iterações do PsixBot para ilustrar como os criminosos online atualizam constantemente seus malwares para melhorar seu desempenho e recursos.
Comportamento do PsixBot
O PsixBot altera as configurações do certificado do sistema, o que lhe dá direitos de acesso de usuário praticamente ilimitados na máquina host:
Chaves adicionadas:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Valores adicionados:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Arquivos adicionados:
C: Documentos e configuraçõesAdministradorDados de aplicativos
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 beta
A primeira versão do PsixBot abordada neste blog é a Beta 1.0.0 com a classe principal 11. Cada classe tem sua tarefa individual. As seguintes classes básicas são usadas em todas as versões do PsixBot:
- Conversa de servidor – usado para inicializar a variável global, criar a conexão com o servidor da nave-mãe e enviar resultados para frente e para trás.
- Executar na memória – usado para realmente executar o arquivo.
- Sysinfo – usado para obter informações sobre o sistema do usuário, incluindo nome do antivírus, CPU, versão do Windows, tipo de usuário e permissões do usuário.
- CatchEndSession – usado para criar autoruns ocultos.
- Excluir atributo – usado para matar o sistema software antivírus, Windows Explorer e quaisquer alertas de erro do sistema.
- ÉAdmin – usado para assumir a participação no grupo de administradores.
- ÉVm – detecta a presença de qualquer máquina virtual.
- ResolverBit – usado para resolver solicitações de DNS do usuário.
- RC4 – o algoritmo usado para criptografar e descriptografar dados.
- Instale – instala o arquivo bot e configura os módulos de segurança e atualização do arquivo.
versão 1.0.2
Beta 1.0.2 manteve a funcionalidade de classe básica da primeira versão, mas renomeou algumas das classes da seguinte forma:
- ServerTalk - renomeado como CpWorker
- RunInMemory – renomeado como MemoryModulesWorker
- SysInfo - renomeado como SysHelperName
… e adicionei a seguinte classe:
- DNSWorker – usado para obter a entrada do host e pingar o host para verificar se ele está ativo ou não.
versão 1.1
A versão 1.1 novamente manteve a mesma estrutura de classe de seu predecessor, mas adicionou a seguinte tarefa à lista de recursos:
- Forfg- usado para obter o caminho para a variável temp, defina o diretório DLL e grave-o em um arquivo .dat:
versão 1.1.0.2
A versão 1.1.0.2 viu uma atualização em que o FORFG recurso foi combinado com a outra lista de recursos. Todas as outras aulas e atividades permaneceram as mesmas.
versão 1.1.0.4
Novamente, as classes básicas permaneceram as mesmas da versão anterior, mas com a adição das seguintes classes importantes
- GzipWebClientName – usado para descompactar qualquer arquivo Gzip baixado pelo bot:
Atualizações da lista de recursos
Enfiador - Invoque a função de thread usada para executar o arquivo e execute-o na memória (Executar na memória).
Chave Bot - O PsixBot tem um código comumd chave em todas as versões:
Atividades em Rede– O PsixBot inicialmente usa o DNS do Google e depois se comunica com seu próprio DNS:
Módulos principais por versão
FeautersList por versão
Tráfego de rede
O PsixBot se conecta inicialmente ao DNS do Google e depois se conecta ao seu próprio servidor DNS em cidades verdes.hk:
193.32.188.136 (cidades verdes.hk)
185.98.87.59 (cidades verdes.hk)
COI
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(cidadesverdes.hk)
185.98.87.59(cidadesverdes.hk)
COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- :tem
- :é
- :não
- $UP
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- Sobre
- Acesso
- atividades
- adicionar
- adicionado
- Adição
- admin
- novamente
- Alertas
- algoritmo
- Todos os Produtos
- permitir
- an
- análise
- e
- antivirus
- qualquer
- aplicações
- SOMOS
- chegando
- AS
- assumir
- At
- em caminho duplo
- basic
- sido
- antes
- comportamento
- beta
- Blog
- Bot
- Botnet
- mas a
- by
- CAN
- capaz
- certificado
- Alterações
- verificar
- classe
- aulas
- clique
- combinado
- comum
- computador
- confidencial
- da conexão
- conecta
- constantemente
- não contenho
- bolinhos
- núcleo
- coberto
- crio
- Os criminosos
- Atualmente
- dados,
- Descifrar
- área de trabalho
- desenvolvido
- Desenvolvimento
- anuário
- dns
- INSTITUCIONAIS
- baixados
- cada
- criptografar
- Engenharia
- entrada
- erro
- Mesmo
- Evento
- executar
- explorador
- extrato
- Característica
- Funcionalidades
- Fevereiro
- Fevereiro de 2020
- Envie o
- Arquivos
- Firefox
- Primeiro nome
- seguinte
- segue
- Escolha
- formato
- adiante
- Quadro
- Gratuito
- da
- função
- funcionalidade
- mais distante
- gerado
- ter
- dá
- Global
- Grupo
- Colheita
- oculto
- hospedeiro
- Como funciona o dobrador de carta de canal
- HTTPS
- ilustrar
- imagem
- importante
- melhorar
- in
- Incluindo
- Individual
- infectado
- INFORMAÇÕES
- inicialmente
- instantâneos
- IT
- iterações
- ESTÁ
- jpg
- Chave
- Matar
- mais tarde
- como
- Lista
- máquina
- máquinas
- malwares
- max-width
- Filiação
- Memória
- métodos
- Microsoft
- Módulos
- a maioria
- nome
- líquido
- rede
- Novembro
- nt
- obter
- of
- frequentemente
- on
- online
- or
- original
- Outros
- Outlook
- próprio
- senhas
- caminho
- para
- atuação
- permissões
- PHP
- sibilo
- platão
- Inteligência de Dados Platão
- PlatãoData
- antecessor
- presença
- anterior
- registro
- permaneceu
- remotamente
- pedidos
- resolver
- Resultados
- direitos
- Execute
- mesmo
- serra
- Scorecard
- segurança
- enviar
- servidor
- conjunto
- Conjuntos
- Configurações
- periodo
- desde
- Redes Sociais
- Engenharia social
- alguns
- propagação
- padrão
- fica
- estrutura
- .
- toma
- Tarefa
- A
- deles
- então
- isto
- ameaça
- Através da
- tempo
- para
- tráfego
- troiano
- tipo
- tipos
- sofreu
- ilimitado
- Atualizar
- usava
- Utilizador
- usos
- variável
- vário
- versão
- versões
- via
- Virtual
- praticamente
- foi
- se
- qual
- Windows
- de
- escrever
- Vocês
- investimentos
- zefirnet