Время чтения: 4 минут
Введение в PSIXBOT:
PsiXBot - это троян для кражи данных, способный собирать конфиденциальные данные и пароли с компьютера жертвы. Он может похищать файлы cookie, извлекать логины / пароли из таких приложений, как Firefox и Microsoft Outlook, записывать нажатия клавиш жертвы, позволять преступникам удаленно просматривать / взаимодействовать с рабочим столом жертвы и даже может добавлять компьютер жертвы в ботнет. Чаще всего он распространяется через зараженные вложения электронной почты, через интернет-рекламу, в которой содержится бот, и с помощью других методов социальной инженерии.
Исходное вредоносное ПО PsixBot появилось в ноябре 2017 года, но претерпело значительные изменения, прежде чем появиться в бета-формате в 2019 году. С тех пор оно было усовершенствовано и в настоящее время находится в версии 1.1.0.4 в феврале 2020 года:
PsixBot был сгенерирован в среде .NET. В этом блоге вы познакомитесь с различными версиями PsixBot, чтобы проиллюстрировать, как онлайн-преступники постоянно обновляют свои вредоносных программ для улучшения его производительности и возможностей.
Поведение PsixBot
PsixBot изменяет настройки сертификата системы, что дает ему практически неограниченные права доступа пользователя на хост-компьютере:
Ключи добавлены:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Добавленные значения:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Добавленные файлы:
C: Документы и настройки администратора приложения Данные приложения
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Бета 1.0.0
Первая версия PsixBot, описанная в этом блоге, - бета-версия 1.0.0 с базовым классом 11. Каждый класс имеет свою индивидуальную задачу. Следующие базовые классы используются во всех версиях PsixBot:
- Разговор о сервере - используется для инициализации глобальной переменной, создания соединения с сервером Mothership и отправки результатов туда и обратно.
- RunInMemory - используется для фактического выполнения файла.
- системная информация - используется для получения информации о системе пользователя, включая имя антивируса, процессор, версию Windows, тип пользователя и права пользователя.
- CatchEndSession - используется для создания скрытых автозапусков.
- Удалить атрибут - используется для уничтожения системы антивирусное программное обеспечение, Проводник Windows и любые предупреждения о системных ошибках.
- ИсАдмин - используется для вступления в группу администраторов.
- IsVm - обнаруживает присутствие любых виртуальных машин.
- Разрешить бит - используется для разрешения DNS-запросов от пользователя.
- RC4 - алгоритм, используемый для шифрования и дешифрования данных.
- Установите - устанавливает файл бота и устанавливает модули безопасности и обновления файла.
Версия 1.0.2
Бета-версия 1.0.2 сохранила базовую функциональность классов первой версии, но переименовала некоторые классы следующим образом:
- ServerTalk - переименован в CpWorker
- RunInMemory - переименован в ПамятьМодулиРабочий
- СисИнфо - переименован в СисХелпер
… И добавил следующий класс:
- DNSWorker - используется для получения записи хоста и проверки связи с хостом, чтобы проверить, работает ли он.
Версия 1.1
Версия 1.1 снова сохранила ту же структуру классов, что и ее предшественник, но добавила следующую задачу в список возможностей:
- Forfg - используется для получения пути к переменной temp, установки каталога DLL и записи его в файл .dat:
Версия 1.1.0.2
Версия 1.1.0.2 увидела обновление, в соответствии с которым ФОРФГ Функция была объединена с другим списком функций. Все остальные занятия и занятия остались прежними.
Версия 1.1.0.4
Опять же, основные классы остались такими же, как и в предыдущей версии, но с добавлением следующего важного класса
- GzipWebClient - используется для распаковки любых файлов Gzip, загруженных ботом:
Обновления списка функций
Threader - Вызвать функцию потока, использованную для запуска файла, и запустить его в памяти (RunInMemory).
Ключ бота – PsixBot имеет общий жесткий кодключ d во всех версиях:
Сетевая деятельность- PsixBot изначально использует Google DNS, а затем связывается с собственным DNS:
Основные модули в версии
FeautersList для каждой версии
Сетевой трафик
PsixBot сначала подключается к Google DNS, затем подключается к собственному DNS-серверу по адресу Greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
МОК
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- :имеет
- :является
- :нет
- $UP
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- О нас
- доступ
- активно
- на самом деле
- Добавить
- добавленный
- дополнение
- Администратор
- снова
- Оповещения
- алгоритм
- Все
- позволять
- an
- анализ
- и
- антивирус
- любой
- Приложения
- МЫ
- прибывающий
- AS
- предполагать
- At
- назад
- основной
- было
- до
- поведение
- beta
- Блог
- Бот
- Ботнет
- но
- by
- CAN
- способный
- сертификат
- изменения
- проверка
- класс
- классов
- нажмите на
- сочетании
- Общий
- компьютер
- конфиденциальный
- связи
- подключает
- постоянно
- содержать
- печенье
- Основные
- покрытый
- Создайте
- Преступники
- В настоящее время
- данным
- Decrypt
- компьютера
- развитый
- Развитие
- каталог
- DNS
- Документация
- скачанный
- каждый
- шифровать
- Проект и
- запись
- ошибка
- Даже
- События
- выполнять
- исследователь
- извлечение
- Особенность
- Особенности
- февраль
- Февраль 2020
- Файл
- Файлы
- Firefox
- Во-первых,
- после
- следующим образом
- Что касается
- формат
- вперед
- Рамки
- Бесплатно
- от
- функция
- функциональность
- далее
- генерируется
- получить
- дает
- Глобальный
- группы
- Сбор урожая
- Скрытый
- кашель
- Как
- HTTPS
- иллюстрировать
- изображение
- важную
- улучшать
- in
- В том числе
- individual
- инфицированный
- информация
- первоначально
- мгновение
- IT
- итерации
- ЕГО
- JPG
- Основные
- Убийство
- новее
- такое как
- Список
- машина
- Продукция
- вредоносных программ
- макс-ширина
- членство
- Память
- методы
- Microsoft
- Модули
- самых
- имя
- сеть
- сеть
- Ноябрь
- nt
- получать
- of
- .
- on
- онлайн
- or
- оригинал
- Другое
- Outlook
- собственный
- пароли
- путь
- для
- производительность
- Разрешения
- PHP
- пинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- предшественник
- присутствие
- предыдущий
- запись
- остались
- удаленно
- Запросы
- решение
- Итоги
- правые
- Run
- то же
- видел
- система показателей
- безопасность
- Отправить
- сервер
- набор
- Наборы
- настройки
- значительный
- с
- Соцсети
- Социальная инженерия
- некоторые
- распространение
- стандарт
- стоит
- Структура
- система
- принимает
- Сложность задачи
- Ассоциация
- их
- тогда
- этой
- угроза
- Через
- время
- в
- трафик
- троянец
- напишите
- Типы
- Прошел
- Неограниченный
- Обновление ПО
- используемый
- Информация о пользователе
- использования
- переменная
- различный
- версия
- версии
- с помощью
- Виртуальный
- фактически
- законопроект
- будь то
- который
- окна
- записывать
- Ты
- ВАШЕ
- зефирнет