Версии PsixBot | Типы поведения PsixBot

Время чтения: 4 минут

Введение в PSIXBOT:

PsiXBot - это троян для кражи данных, способный собирать конфиденциальные данные и пароли с компьютера жертвы. Он может похищать файлы cookie, извлекать логины / пароли из таких приложений, как Firefox и Microsoft Outlook, записывать нажатия клавиш жертвы, позволять преступникам удаленно просматривать / взаимодействовать с рабочим столом жертвы и даже может добавлять компьютер жертвы в ботнет. Чаще всего он распространяется через зараженные вложения электронной почты, через интернет-рекламу, в которой содержится бот, и с помощью других методов социальной инженерии.

Исходное вредоносное ПО PsixBot появилось в ноябре 2017 года, но претерпело значительные изменения, прежде чем появиться в бета-формате в 2019 году. С тех пор оно было усовершенствовано и в настоящее время находится в версии 1.1.0.4 в феврале 2020 года:

PsixBot был сгенерирован в среде .NET. В этом блоге вы познакомитесь с различными версиями PsixBot, чтобы проиллюстрировать, как онлайн-преступники постоянно обновляют свои вредоносных программ для улучшения его производительности и возможностей.

Поведение PsixBot

PsixBot изменяет настройки сертификата системы, что дает ему практически неограниченные права доступа пользователя на хост-компьютере:

Ключи добавлены:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Добавленные значения:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Добавленные файлы:

C: Документы и настройки администратора приложения Данные приложения

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Бета 1.0.0

Первая версия PsixBot, описанная в этом блоге, - бета-версия 1.0.0 с базовым классом 11. Каждый класс имеет свою индивидуальную задачу. Следующие базовые классы используются во всех версиях PsixBot:

• Разговор о сервере - используется для инициализации глобальной переменной, создания соединения с сервером Mothership и отправки результатов туда и обратно.
• RunInMemory - используется для фактического выполнения файла.
• системная информация - используется для получения информации о системе пользователя, включая имя антивируса, процессор, версию Windows, тип пользователя и права пользователя.
• CatchEndSession - используется для создания скрытых автозапусков.
• Удалить атрибут - используется для уничтожения системы антивирусное программное обеспечение, Проводник Windows и любые предупреждения о системных ошибках.
• ИсАдмин - используется для вступления в группу администраторов.
• IsVm - обнаруживает присутствие любых виртуальных машин.
• Разрешить бит - используется для разрешения DNS-запросов от пользователя.
• RC4 - алгоритм, используемый для шифрования и дешифрования данных.
• Установите - устанавливает файл бота и устанавливает модули безопасности и обновления файла.

Версия 1.0.2

Бета-версия 1.0.2 сохранила базовую функциональность классов первой версии, но переименовала некоторые классы следующим образом:

• ServerTalk - переименован в CpWorker
• RunInMemory - переименован в ПамятьМодулиРабочий
• СисИнфо - переименован в СисХелпер

… И добавил следующий класс:

• DNSWorker - используется для получения записи хоста и проверки связи с хостом, чтобы проверить, работает ли он.

Версия 1.1

Версия 1.1 снова сохранила ту же структуру классов, что и ее предшественник, но добавила следующую задачу в список возможностей:

• Forfg - используется для получения пути к переменной temp, установки каталога DLL и записи его в файл .dat:

Версия 1.1.0.2

Версия 1.1.0.2 увидела обновление, в соответствии с которым ФОРФГ Функция была объединена с другим списком функций. Все остальные занятия и занятия остались прежними.

Версия 1.1.0.4

Опять же, основные классы остались такими же, как и в предыдущей версии, но с добавлением следующего важного класса

• GzipWebClient - используется для распаковки любых файлов Gzip, загруженных ботом:

Обновления списка функций

Threader - Вызвать функцию потока, использованную для запуска файла, и запустить его в памяти (RunInMemory).

Ключ бота – PsixBot имеет общий жесткий кодключ d во всех версиях:

Сетевая деятельность- PsixBot изначально использует Google DNS, а затем связывается с собственным DNS:

Основные модули в версии

FeautersList для каждой версии

Сетевой трафик

PsixBot сначала подключается к Google DNS, затем подключается к собственному DNS-серверу по адресу Greentowns.hk:

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

МОК

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

193.32.188.136 (greentowns.hk)

185.98.87.59 (greentowns.hk)

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://blog.comodo.com/comodo-news/versions-of-psixbot/