เวลาอ่านหนังสือ: 4 นาที
บทนำของ PSIXBOT:
PsiXBot เป็นโทรจันที่ขโมยข้อมูลซึ่งสามารถรวบรวมข้อมูลที่เป็นความลับและรหัสผ่านจากคอมพิวเตอร์ของเหยื่อได้ มันสามารถขโมยคุกกี้ ดึงข้อมูลการเข้าสู่ระบบ/รหัสผ่านจากแอปพลิเคชันเช่น Firefox และ Microsoft Outlook บันทึกการกดแป้นพิมพ์ของเหยื่อ อนุญาตให้อาชญากรดู/โต้ตอบกับเดสก์ท็อปของเหยื่อจากระยะไกล และสามารถเพิ่มคอมพิวเตอร์ของเหยื่อไปยังบ็อตเน็ตได้ ส่วนใหญ่มักจะแพร่กระจายผ่านไฟล์แนบอีเมลที่ติดไวรัส ผ่านโฆษณาออนไลน์ที่มีบอท และผ่านวิธีการทางวิศวกรรมทางสังคมอื่นๆ
มัลแวร์ PsixBot ดั้งเดิมปรากฏขึ้นในเดือนพฤศจิกายน 2017 แต่ได้รับการพัฒนาที่สำคัญก่อนที่จะมาถึงรูปแบบเบต้าในปี 2019 นับตั้งแต่นั้นมาได้รับการพัฒนาเพิ่มเติมและปัจจุบันอยู่ที่เวอร์ชัน 1.1.0.4 ในเดือนกุมภาพันธ์ 2020:
PsixBot ถูกสร้างขึ้นใน .NET framework บล็อกนี้จะนำคุณผ่านการทำซ้ำต่างๆ ของ PsixBot เพื่อแสดงให้เห็นว่าอาชญากรออนไลน์อัปเดตพวกเขาอย่างต่อเนื่องอย่างไร มัลแวร์ เพื่อปรับปรุงประสิทธิภาพและคุณสมบัติของมัน
พฤติกรรมของ PsixBot
PsixBot เปลี่ยนการตั้งค่าใบรับรองระบบ ซึ่งทำให้สิทธิ์การเข้าถึงของผู้ใช้บนเครื่องโฮสต์แทบไม่จำกัด:
คีย์เพิ่ม:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
มูลค่าเพิ่ม:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
ไฟล์ที่เพิ่ม:
C: เอกสารและการตั้งค่าผู้ดูแลระบบข้อมูลแอปพลิเคชัน
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
1.0.0 เบต้า
PsixBot รุ่นแรกที่กล่าวถึงในบล็อกนี้คือ Beta 1.0.0 พร้อมคลาสหลัก 11 แต่ละคลาสมีภารกิจเฉพาะของตัวเอง คลาสพื้นฐานต่อไปนี้ใช้ใน PsixBot ทุกเวอร์ชัน:
- เซิฟเวอร์ทอล์ค – ใช้เพื่อเริ่มต้นตัวแปรส่วนกลาง สร้างการเชื่อมต่อกับเซิร์ฟเวอร์แม่ และส่งผลกลับไปกลับมา
- เรียกใช้ในหน่วยความจำ – ใช้ในการรันไฟล์จริง
- ซิสอินโฟ – ใช้เพื่อรับข้อมูลเกี่ยวกับระบบของผู้ใช้ รวมทั้งชื่อโปรแกรมป้องกันไวรัส, CPU, เวอร์ชันของ Windows, ประเภทผู้ใช้ และการอนุญาตของผู้ใช้
- CatchEndSession – ใช้ในการสร้างการทำงานอัตโนมัติที่ซ่อนอยู่
- ลบ Attrib – ใช้เพื่อฆ่าระบบของ ซอฟต์แวร์ป้องกันไวรัส, Windows Explorer และการแจ้งเตือนข้อผิดพลาดของระบบ
- เป็นแอดมิน – ใช้เพื่อสมมติสมาชิกของกลุ่มผู้ดูแลระบบ
- IsVm – ตรวจจับการมีอยู่ของเครื่องเสมือนใดๆ
- แก้ไขบิต – ใช้เพื่อแก้ไขคำขอ DNS จากผู้ใช้
- RC4 – อัลกอริธึมที่ใช้ในการเข้ารหัสและถอดรหัสข้อมูล
- การติดตั้ง – ติดตั้งไฟล์บอทและตั้งค่าความปลอดภัยของไฟล์และอัปเดตโมดูล
1.0.2 เวอร์ชัน
เบต้า 1.0.2 ยังคงใช้ฟังก์ชันคลาสพื้นฐานของเวอร์ชันแรก แต่เปลี่ยนชื่อคลาสบางคลาสดังนี้:
- เซิฟเวอร์ทอล์ค – เปลี่ยนชื่อเป็น ซีพีเวิร์คเกอร์
- รันอินเมมโมรี่ – เปลี่ยนชื่อเป็น หน่วยความจำโมดูลผู้ปฏิบัติงาน
- ซิสอินโฟ – เปลี่ยนชื่อเป็น Sys ตัวช่วย
… และเพิ่มคลาสต่อไปนี้:
- DNSWorker – ใช้เพื่อรับรายการโฮสต์และ ping โฮสต์เพื่อตรวจสอบว่าเปิดอยู่หรือไม่
1.1 เวอร์ชัน
เวอร์ชัน 1.1 ยังคงโครงสร้างคลาสเดียวกันกับรุ่นก่อน แต่เพิ่มงานต่อไปนี้ในรายการคุณสมบัติ:
- ฟอร์ฟก – ใช้เพื่อรับเส้นทางไปยังตัวแปร temp ตั้งค่าไดเร็กทอรี DLL และเขียนลงในไฟล์ .dat:
1.1.0.2 เวอร์ชัน
เวอร์ชัน 1.1.0.2 เห็นการอัปเดตโดยที่ ฟอร์เอฟจี คุณลักษณะถูกรวมเข้ากับรายการคุณลักษณะอื่น ๆ ชั้นเรียนและกิจกรรมอื่นๆ ทั้งหมดยังคงเหมือนเดิม
1.1.0.4 เวอร์ชัน
อีกครั้ง คลาสพื้นฐานยังคงเหมือนกับเวอร์ชันก่อนหน้า แต่มีการเพิ่มต่อไปนี้ สำคัญ class
- GzipWebClient – ใช้ในการขยายขนาดไฟล์ Gzip ใด ๆ ที่ดาวน์โหลดโดยบอท:
อัปเดตรายการคุณสมบัติ
ที่สนเข็ม – เรียกใช้ฟังก์ชันเธรดที่ใช้ในการเรียกใช้ไฟล์และเรียกใช้หน่วยความจำ (เรียกใช้ในหน่วยความจำ).
คีย์บอท - PsixBot มีฮาร์ดโค้ดทั่วไปd คีย์ในทุกเวอร์ชัน:
กิจกรรมเครือข่าย– PsixBot เริ่มใช้ Google DNS จากนั้นจึงสื่อสารกับ DNS ของตัวเองในภายหลัง:
โมดูลหลักต่อเวอร์ชัน
FeautersList ต่อเวอร์ชัน
เครือข่ายการจราจร
PsixBot เริ่มเชื่อมต่อกับ Google DNS จากนั้นเชื่อมต่อกับเซิร์ฟเวอร์ DNS ของตัวเองที่ greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
เริ่มทดลองใช้ฟรี รับคะแนนความปลอดภัยทันทีของคุณฟรี
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- เกี่ยวกับเรา
- เข้า
- กิจกรรม
- จริง
- เพิ่ม
- ที่เพิ่ม
- นอกจากนี้
- ผู้ดูแลระบบ
- อีกครั้ง
- การแจ้งเตือน
- ขั้นตอนวิธี
- ทั้งหมด
- อนุญาต
- an
- การวิเคราะห์
- และ
- โปรแกรมป้องกันไวรัส
- ใด
- การใช้งาน
- เป็น
- ที่เดินทางมาถึง
- AS
- สมมติ
- At
- กลับ
- ขั้นพื้นฐาน
- รับ
- ก่อน
- พฤติกรรม
- เบต้า
- บล็อก
- ธ ปท
- บ็อตเน็ต
- แต่
- by
- CAN
- สามารถ
- ใบรับรอง
- การเปลี่ยนแปลง
- ตรวจสอบ
- ชั้น
- ชั้นเรียน
- คลิก
- รวม
- ร่วมกัน
- คอมพิวเตอร์
- ลับ
- การเชื่อมต่อ
- เชื่อมต่อ
- ไม่หยุดหย่อน
- บรรจุ
- คุ้กกี้
- แกน
- ปกคลุม
- สร้าง
- อาชญากร
- ขณะนี้
- ข้อมูล
- ถอดรหัส
- เดสก์ท็อป
- พัฒนา
- พัฒนาการ
- ไดเรกทอรี
- DNS
- เอกสาร
- ดาวน์โหลด
- แต่ละ
- อีเมล
- การเข้ารหัสลับ
- ชั้นเยี่ยม
- การเข้า
- ความผิดพลาด
- แม้
- เหตุการณ์
- ดำเนินการ
- นักสำรวจ
- สารสกัด
- ลักษณะ
- คุณสมบัติ
- กุมภาพันธ์
- กุมภาพันธ์ 2020
- เนื้อไม่มีมัน
- ไฟล์
- Firefox
- ชื่อจริง
- ดังต่อไปนี้
- ดังต่อไปนี้
- สำหรับ
- รูป
- ออกมา
- กรอบ
- ฟรี
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- ฟังก์ชั่น
- ต่อไป
- สร้าง
- ได้รับ
- จะช่วยให้
- เหตุการณ์ที่
- บัญชีกลุ่ม
- การเก็บเกี่ยว
- ซ่อนเร้น
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- แสดง
- ภาพ
- สำคัญ
- ปรับปรุง
- in
- รวมทั้ง
- เป็นรายบุคคล
- ที่ติดเชื้อ
- ข้อมูล
- ในขั้นต้น
- ด่วน
- IT
- ซ้ำ
- ITS
- jpg
- คีย์
- ฆ่า
- ต่อมา
- กดไลก์
- รายการ
- เครื่อง
- เครื่อง
- มัลแวร์
- ความกว้างสูงสุด
- การเป็นสมาชิก
- หน่วยความจำ
- วิธีการ
- ไมโครซอฟท์
- โมดูล
- มากที่สุด
- ชื่อ
- สุทธิ
- เครือข่าย
- พฤศจิกายน
- nt
- ได้รับ
- of
- มักจะ
- on
- ออนไลน์
- or
- เป็นต้นฉบับ
- อื่นๆ
- Outlook
- ของตนเอง
- รหัสผ่าน
- เส้นทาง
- ต่อ
- การปฏิบัติ
- สิทธิ์
- PHP
- ปิง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- บรรพบุรุษ
- การมี
- ก่อน
- ระเบียน
- ยังคงอยู่
- จากระยะไกล
- การร้องขอ
- แก้ไข
- ผลสอบ
- สิทธิ
- วิ่ง
- เดียวกัน
- เห็น
- ดัชนีชี้วัด
- ความปลอดภัย
- ส่ง
- เซิร์ฟเวอร์
- ชุด
- ชุดอุปกรณ์
- การตั้งค่า
- สำคัญ
- ตั้งแต่
- สังคม
- วิศวกรรมทางสังคม
- บาง
- กระจาย
- มาตรฐาน
- ยืน
- โครงสร้าง
- ระบบ
- ใช้เวลา
- งาน
- พื้นที่
- ของพวกเขา
- แล้วก็
- นี้
- การคุกคาม
- ตลอด
- เวลา
- ไปยัง
- การจราจร
- โทรจัน
- ชนิด
- ชนิด
- ขนาน
- ไม่ จำกัด
- บันทึก
- มือสอง
- ผู้ใช้งาน
- ใช้
- ตัวแปร
- ต่างๆ
- รุ่น
- รุ่น
- ผ่านทาง
- เสมือน
- จวน
- คือ
- ว่า
- ที่
- หน้าต่าง
- กับ
- เขียน
- คุณ
- ของคุณ
- ลมทะเล