Okuma zamanı: 4 dakika
PSIXBOT'un Tanıtımı:
PsiXBot, bir kurbanın bilgisayarından gizli verileri ve parolaları toplayabilen, veri çalan bir truva atıdır. Çerezleri çalabilir, Firefox ve Microsoft Outlook gibi uygulamalardan oturum açma bilgilerini/parolaları çıkarabilir, kurbanın tuş vuruşlarını kaydedebilir, suçluların kurbanın masaüstünü uzaktan görüntülemesine/etkileşimine izin verebilir ve hatta kurbanın bilgisayarını bir botnet'e ekleyebilir. Çoğunlukla virüslü e-posta ekleri, bot içeren çevrimiçi reklamlar ve diğer sosyal mühendislik yöntemleri aracılığıyla yayılır.
Orijinal PsixBot kötü amaçlı yazılımı Kasım 2017'de ortaya çıktı, ancak 2019'da beta biçiminde gelmeden önce önemli bir geliştirme geçirdi. O zamandan beri daha da geliştirildi ve şu anda Şubat 1.1.0.4'de 2020 sürümünde duruyor:
PsixBot .NET çerçevesinde oluşturuldu. Bu blog, çevrimiçi suçluların PsixBot'u sürekli olarak nasıl güncellediğini göstermek için sizi PsixBot'un çeşitli versiyonlarına yönlendiriyor. kötü amaçlı yazılım Performansını ve özelliklerini geliştirmek için.
PsixBot'un Davranışı
PsixBot, ana makinede neredeyse sınırsız kullanıcı erişim hakkı veren sistem sertifikası ayarlarını değiştirir:
Anahtarlar eklendi:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Eklenen değerler:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Eklenen dosyalar:
C:Belgeler ve AyarlarYöneticiUygulama Verileri
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
Bu blogda ele alınan PsixBot'un ilk sürümü, çekirdek sınıf 1.0.0 ile Beta 11'dır. Her sınıfın kendi görevi vardır. PsixBot'un tüm sürümlerinde aşağıdaki temel sınıflar kullanılır:
- sunucu konuşması – global değişkeni başlatmak, ana sunucu ile bağlantı oluşturmak ve sonuçları ileri geri göndermek için kullanılır.
- Bellekte Çalıştır – aslında dosyayı yürütmek için kullanılır.
- SysInfo – antivirüs adı, CPU, Windows sürümü, kullanıcı türü ve kullanıcı izinleri dahil olmak üzere kullanıcının sistemi hakkında bilgi almak için kullanılır.
- YakalamaSon Oturumu – gizli otomatik çalıştırmalar oluşturmak için kullanılır.
- Sil Özellik – sistemi öldürmek için kullanılır antivirüs yazılımı, Windows Gezgini ve tüm sistem hatası uyarıları.
- Yönetici – yönetici grubunun üyeliğini kabul etmek için kullanılır.
- IsVm – herhangi bir sanal makinenin varlığını algılar.
- Çözüm Biti – kullanıcıdan gelen DNS isteklerini çözmek için kullanılır.
- RC4 – verileri şifrelemek ve şifresini çözmek için kullanılan algoritma.
- kurmak – bot dosyasını kurar ve dosyanın güvenlik ve güncelleme modüllerini kurar.
Sürüm 1.0.2
Beta 1.0.2, ilk sürümün temel sınıf işlevselliğini korudu, ancak bazı sınıfları aşağıdaki gibi yeniden adlandırdı:
- Sunucu Konuşması – olarak yeniden adlandırıldı Cp Çalışanı
- RunInMemory – olarak yeniden adlandırıldı BellekModülleriÇalışan
- Sistem Bilgisi – olarak yeniden adlandırıldı Sistem Yardımcısı
… ve aşağıdaki sınıfı ekledi:
- DNS Çalışanı – ana bilgisayar girişini almak ve açık olup olmadığını kontrol etmek için ana bilgisayara ping atmak için kullanılır.
Sürüm 1.1
Sürüm 1.1, öncekiyle aynı sınıf yapısını yeniden korudu, ancak aşağıdaki görevi özellikler listesine ekledi:
- forfg - temp değişkeninin yolunu elde etmek için kullanılır, DLL dizinini ayarlayın ve bir .dat dosyasına yazın:
Sürüm 1.1.0.2
Sürüm 1.1.0.2 bir güncelleme gördü. FORFG özellik, diğer özellik listesiyle birleştirildi. Diğer tüm sınıflar ve etkinlikler aynı kaldı.
Sürüm 1.1.0.4
Yine, temel sınıflar önceki sürümle aynı kaldı, ancak aşağıdaki önemli sınıfın eklenmesiyle
- GzipWeb İstemcisi – bot tarafından indirilen herhangi bir Gzip dosyasını açmak için kullanılır:
Özellik Listesi Güncellemeleri
iplik geçirici – Dosyayı çalıştırmak için kullanılan iş parçacığı işlevini çağırın ve onu bellekte çalıştırın (Bellekte Çalıştır).
Bot Anahtarı - PsixBot'un ortak bir sabit kodu vardırtüm sürümlerde d tuşu:
Ağ Etkinlikleri– PsixBot başlangıçta Google DNS'yi kullanır ve daha sonra kendi DNS'si ile iletişim kurar:
Sürüm Başına Çekirdek Modüller
Sürüm Başına FeautersList
Ağ trafiği
PsixBot başlangıçta Google DNS'ye bağlanır, ardından şu adresteki kendi DNS sunucusuna bağlanır: greentowns.hk:
193.32.188.136 (greentowns.hk)
185.98.87.59 (greentowns.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
Sonrası PSIXBOT'UN VERSİYONLARI İlk çıktı Comodo Haberleri ve İnternet Güvenliği Bilgileri.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- Hakkımızda
- erişim
- faaliyetler
- katma
- ilave
- Gizem
- algoritma
- Türkiye
- analiz
- antivirüs
- hiçbir yerde
- uygulamaları
- önce
- beta
- Siyah
- Engellemek
- Blog
- Bot
- botnet
- yetenekli
- sertifika
- sınıf
- sınıflar
- kombine
- ortak
- bilgisayar
- bağ
- sürekli
- kurabiye
- çekirdek
- yaratmak
- Suçlular
- Şu anda
- veri
- masaüstü
- gelişmiş
- gelişme
- ekran
- dns
- evraklar
- her
- E-posta
- Mühendislik
- Özellikler(Hazırlık aşamasında)
- Özellikler
- Şubat 2020
- Firefox
- Ad
- takip etme
- şu
- biçim
- iskelet
- Ücretsiz
- itibaren
- işlev
- işlevsellik
- daha fazla
- oluşturulan
- Küresel
- grup
- Hasat
- Ne kadar
- HTTPS
- görüntü
- önemli
- iyileştirmek
- Dahil olmak üzere
- bireysel
- bilgi
- Internet
- Internet Security
- IT
- anahtar
- Liste
- makine
- Makineler
- kötü amaçlı yazılım
- üyelik
- Bellek
- yöntemleri
- Microsoft
- çoğu
- net
- ağ
- haber
- Online
- Diğer
- Görünüm
- kendi
- şifreleri
- performans
- ping
- varlık
- önceki
- kayıt
- kalmıştır
- isteklerinizi
- Sonuçlar
- koşmak
- aynı
- güvenlik
- set
- önemli
- beri
- Sosyal Medya
- Sosyal mühendislik
- biraz
- yayılma
- standart
- standları
- sistem
- The
- İçinden
- zaman
- trafik
- Truva
- sınırsız
- Güncelleme
- çeşitli
- versiyon
- Sanal
- olup olmadığını
- pencereler
