Thời gian đọc: 4 phút
Giới thiệu PSIXBOT:
PsiXBot là trojan ăn cắp dữ liệu có khả năng thu thập dữ liệu và mật khẩu bí mật từ máy tính của nạn nhân. Nó có thể đánh cắp cookie, trích xuất thông tin đăng nhập / mật khẩu từ các ứng dụng như Firefox và Microsoft Outlook, ghi lại các lần gõ phím của nạn nhân, cho phép tội phạm xem / tương tác từ xa với màn hình của nạn nhân và thậm chí có thể thêm máy tính của nạn nhân vào mạng botnet. Nó thường lây lan nhất qua các tệp đính kèm email bị nhiễm, thông qua các quảng cáo trực tuyến có chứa bot và thông qua các phương pháp kỹ thuật xã hội khác.
Phần mềm độc hại PsixBot ban đầu xuất hiện vào tháng 2017 năm 2019 nhưng đã trải qua quá trình phát triển đáng kể trước khi đến ở định dạng beta vào năm 1.1.0.4. Kể từ đó, nó đã được phát triển thêm và hiện ở phiên bản 2020 vào tháng XNUMX năm XNUMX:
PsixBot được tạo trong .NET framework. Blog này sẽ đưa bạn qua các phiên bản khác nhau của PsixBot để minh họa cách bọn tội phạm trực tuyến liên tục cập nhật chúng. phần mềm độc hại để cải thiện hiệu suất và tính năng của nó.
Hành vi của PsixBot
PsixBot thay đổi cài đặt chứng chỉ hệ thống, cung cấp cho nó quyền truy cập của người dùng hầu như không giới hạn trên máy chủ:
Các phím được thêm vào:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Các giá trị được thêm vào:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
Các tệp được thêm vào:
C: Tài liệu và Cài đặt
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
Beta 1.0.0
Phiên bản đầu tiên của PsixBot được đề cập trong blog này là Beta 1.0.0 với lớp lõi 11. Mỗi lớp có nhiệm vụ riêng. Các lớp cơ bản sau được sử dụng trong tất cả các phiên bản của PsixBot:
- máy chủ - được sử dụng để khởi tạo biến toàn cục, tạo kết nối với máy chủ quan hệ mẹ và gửi kết quả qua lại.
- Chạy trong bộ nhớ - được sử dụng để thực thi tệp.
- thông tin hệ thống - được sử dụng để lấy thông tin về hệ thống của người dùng, bao gồm tên chống vi-rút, CPU, phiên bản Windows, kiểu người dùng và quyền của người dùng.
- Phiên bắt cuối - được sử dụng để tạo tự động chạy ẩn.
- XóaAttrib – được sử dụng để tiêu diệt hệ thống phần mềm chống virus, Windows Explorer và bất kỳ cảnh báo lỗi hệ thống nào.
- làQuản trị viên - được sử dụng để đảm nhận tư cách thành viên của nhóm quản trị.
- LàVm - phát hiện sự hiện diện của bất kỳ máy ảo nào.
- Giải quyếtBit - được sử dụng để giải quyết các yêu cầu DNS từ người dùng.
- RC4 - thuật toán được sử dụng để mã hóa và giải mã dữ liệu.
- đặt - cài đặt tệp bot và thiết lập các mô-đun cập nhật và bảo mật của tệp.
Phiên bản 1.0.2
Beta 1.0.2 vẫn giữ chức năng lớp cơ bản của phiên bản đầu tiên, nhưng đã đổi tên một số lớp như sau:
- ServerTalk - đổi tên thành CpCông nhân
- RunInMemory - đổi tên thành Bộ NhớMô-đunCông Nhân
- SysInfo - đổi tên thành Trình trợ giúp hệ thống
… Và thêm lớp sau:
- DNSWorker - được sử dụng để lấy mục nhập máy chủ và ping máy chủ để kiểm tra xem nó đã lên hay chưa.
Phiên bản 1.1
Phiên bản 1.1 một lần nữa vẫn giữ cấu trúc lớp giống như phiên bản tiền nhiệm nhưng đã thêm tác vụ sau vào danh sách tính năng:
- Forfg - được sử dụng để lấy đường dẫn đến biến tạm thời, đặt thư mục DLL và ghi nó vào tệp .dat:
Phiên bản 1.1.0.2
Phiên bản 1.1.0.2 có một bản cập nhật theo đó QUÊN tính năng đã được kết hợp với danh sách tính năng khác. Tất cả các lớp học và hoạt động khác vẫn như cũ.
Phiên bản 1.1.0.4
Một lần nữa, các lớp cơ bản vẫn giống như phiên bản trước nhưng với việc bổ sung các lớp sau, quan trọng,
- GzipWebClient - được sử dụng để giải nén bất kỳ tệp Gzip nào được tải xuống bởi bot:
Cập nhật danh sách tính năng
Threader - Gọi hàm luồng được sử dụng để chạy tệp và chạy nó trong bộ nhớ (Chạy trong bộ nhớ).
Phím Bot – PsixBot có một mã cứng, chungphím d trong tất cả các phiên bản:
Hoạt động mạng- PsixBot ban đầu sử dụng Google DNS, sau đó giao tiếp với DNS của chính nó:
Mô-đun cốt lõi trên mỗi phiên bản
FeautersList mỗi phiên bản
Lưu lượng mạng
PsixBot ban đầu kết nối với Google DNS sau đó kết nối với máy chủ DNS của chính nó tại greentown.hk:
193.32.188.136 (greentown.hk)
185.98.87.59 (greentown.hk)
IOC
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136 (greentown.hk)
185.98.87.59 (greentown.hk)
BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://blog.comodo.com/comodo-news/versions-of-psixbot/
- : có
- :là
- :không phải
- $ LÊN
- 1
- 11
- 2017
- 2019
- 2020
- 214
- 224
- 23
- 300
- 32
- 420
- 455
- 49
- 7
- 70
- 87
- 98
- a
- Giới thiệu
- truy cập
- hoạt động
- thực sự
- thêm vào
- thêm
- Ngoài ra
- quản trị viên
- một lần nữa
- Cảnh báo
- thuật toán
- Tất cả
- cho phép
- an
- phân tích
- và
- antivirus
- bất kì
- các ứng dụng
- LÀ
- đến
- AS
- đảm đương
- At
- trở lại
- cơ bản
- được
- trước
- hành vi
- beta
- Blog
- Bot
- Mạng lưới
- nhưng
- by
- CAN
- có khả năng
- Giấy chứng nhận
- Những thay đổi
- kiểm tra
- tốt nghiệp lớp XNUMX
- các lớp học
- Nhấp chuột
- kết hợp
- Chung
- máy tính
- bí mật
- liên quan
- connect
- liên tục
- chứa
- bánh quy
- Trung tâm
- phủ
- tạo
- Tội phạm
- Hiện nay
- dữ liệu
- Giải mã
- máy tính để bàn
- phát triển
- Phát triển
- thư mục
- dns
- tài liệu
- Đã tải xuống
- mỗi
- mã hóa
- Kỹ Sư
- nhập
- lôi
- Ngay cả
- Sự kiện
- thi hành
- người khám phá
- trích xuất
- Đặc tính
- Tính năng
- Tháng Hai
- 2020 Tháng Hai
- Tập tin
- Các tập tin
- Firefox
- Tên
- tiếp theo
- sau
- Trong
- định dạng
- Ra
- Khung
- Miễn phí
- từ
- chức năng
- chức năng
- xa hơn
- tạo ra
- được
- cho
- Toàn cầu
- Nhóm
- thu hoạch
- Thành viên ẩn danh
- chủ nhà
- Độ đáng tin của
- HTTPS
- minh họa
- hình ảnh
- quan trọng
- nâng cao
- in
- Bao gồm
- hệ thống riêng biệt,
- nhiễm
- thông tin
- ban đầu
- ngay lập tức
- IT
- sự lặp lại
- ITS
- jpg
- Key
- Giết chết
- một lát sau
- Lượt thích
- Danh sách
- máy
- Máy móc
- phần mềm độc hại
- max-width
- thành viên
- Bộ nhớ
- phương pháp
- microsoft
- Modules
- hầu hết
- tên
- net
- mạng
- Tháng mười một
- nt
- được
- of
- thường
- on
- Trực tuyến
- or
- nguyên
- Nền tảng khác
- Outlook
- riêng
- Mật khẩu
- con đường
- mỗi
- hiệu suất
- quyền
- PHP
- ping
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- người tiền nhiệm
- sự hiện diện
- trước
- ghi
- vẫn
- từ xa
- yêu cầu
- giải quyết
- Kết quả
- quyền
- chạy
- tương tự
- thấy
- phiếu ghi điểm
- an ninh
- gửi
- máy chủ
- định
- bộ
- thiết lập
- có ý nghĩa
- kể từ khi
- Mạng xã hội
- Kỹ thuật xã hội
- một số
- lan tràn
- Tiêu chuẩn
- đứng
- cấu trúc
- hệ thống
- mất
- Nhiệm vụ
- Sản phẩm
- cung cấp their dịch
- sau đó
- điều này
- mối đe dọa
- Thông qua
- thời gian
- đến
- giao thông
- Trojan
- kiểu
- loại
- trải qua
- vô hạn
- Cập nhật
- đã sử dụng
- người sử dang
- sử dụng
- biến
- khác nhau
- phiên bản
- phiên bản
- thông qua
- ảo
- hầu như
- là
- liệu
- cái nào
- cửa sổ
- với
- viết
- Bạn
- trên màn hình
- zephyrnet