Các phiên bản của PsixBot | Các loại hành vi của PsixBot

Thời gian đọc: 4 phút

Giới thiệu PSIXBOT:

PsiXBot là trojan ăn cắp dữ liệu có khả năng thu thập dữ liệu và mật khẩu bí mật từ máy tính của nạn nhân. Nó có thể đánh cắp cookie, trích xuất thông tin đăng nhập / mật khẩu từ các ứng dụng như Firefox và Microsoft Outlook, ghi lại các lần gõ phím của nạn nhân, cho phép tội phạm xem / tương tác từ xa với màn hình của nạn nhân và thậm chí có thể thêm máy tính của nạn nhân vào mạng botnet. Nó thường lây lan nhất qua các tệp đính kèm email bị nhiễm, thông qua các quảng cáo trực tuyến có chứa bot và thông qua các phương pháp kỹ thuật xã hội khác.

Phần mềm độc hại PsixBot ban đầu xuất hiện vào tháng 2017 năm 2019 nhưng đã trải qua quá trình phát triển đáng kể trước khi đến ở định dạng beta vào năm 1.1.0.4. Kể từ đó, nó đã được phát triển thêm và hiện ở phiên bản 2020 vào tháng XNUMX năm XNUMX:

PsixBot được tạo trong .NET framework. Blog này sẽ đưa bạn qua các phiên bản khác nhau của PsixBot để minh họa cách bọn tội phạm trực tuyến liên tục cập nhật chúng. phần mềm độc hại để cải thiện hiệu suất và tính năng của nó.

Hành vi của PsixBot

PsixBot thay đổi cài đặt chứng chỉ hệ thống, cung cấp cho nó quyền truy cập của người dùng hầu như không giới hạn trên máy chủ:

Các phím được thêm vào:

KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Các giá trị được thêm vào:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..

Các tệp được thêm vào:

C: Tài liệu và Cài đặt

MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248

Beta 1.0.0

Phiên bản đầu tiên của PsixBot được đề cập trong blog này là Beta 1.0.0 với lớp lõi 11. Mỗi lớp có nhiệm vụ riêng. Các lớp cơ bản sau được sử dụng trong tất cả các phiên bản của PsixBot:

• máy chủ - được sử dụng để khởi tạo biến toàn cục, tạo kết nối với máy chủ quan hệ mẹ và gửi kết quả qua lại.
• Chạy trong bộ nhớ - được sử dụng để thực thi tệp.
• thông tin hệ thống - được sử dụng để lấy thông tin về hệ thống của người dùng, bao gồm tên chống vi-rút, CPU, phiên bản Windows, kiểu người dùng và quyền của người dùng.
• Phiên bắt cuối - được sử dụng để tạo tự động chạy ẩn.
• XóaAttrib – được sử dụng để tiêu diệt hệ thống phần mềm chống virus, Windows Explorer và bất kỳ cảnh báo lỗi hệ thống nào.
• làQuản trị viên - được sử dụng để đảm nhận tư cách thành viên của nhóm quản trị.
• LàVm - phát hiện sự hiện diện của bất kỳ máy ảo nào.
• Giải quyếtBit - được sử dụng để giải quyết các yêu cầu DNS từ người dùng.
• RC4 - thuật toán được sử dụng để mã hóa và giải mã dữ liệu.
• đặt - cài đặt tệp bot và thiết lập các mô-đun cập nhật và bảo mật của tệp.

Phiên bản 1.0.2

Beta 1.0.2 vẫn giữ chức năng lớp cơ bản của phiên bản đầu tiên, nhưng đã đổi tên một số lớp như sau:

• ServerTalk - đổi tên thành CpCông nhân
• RunInMemory - đổi tên thành Bộ NhớMô-đunCông Nhân
• SysInfo - đổi tên thành Trình trợ giúp hệ thống

… Và thêm lớp sau:

• DNSWorker - được sử dụng để lấy mục nhập máy chủ và ping máy chủ để kiểm tra xem nó đã lên hay chưa.

Phiên bản 1.1

Phiên bản 1.1 một lần nữa vẫn giữ cấu trúc lớp giống như phiên bản tiền nhiệm nhưng đã thêm tác vụ sau vào danh sách tính năng:

• Forfg - được sử dụng để lấy đường dẫn đến biến tạm thời, đặt thư mục DLL và ghi nó vào tệp .dat:

Phiên bản 1.1.0.2

Phiên bản 1.1.0.2 có một bản cập nhật theo đó QUÊN tính năng đã được kết hợp với danh sách tính năng khác. Tất cả các lớp học và hoạt động khác vẫn như cũ.

Phiên bản 1.1.0.4

Một lần nữa, các lớp cơ bản vẫn giống như phiên bản trước nhưng với việc bổ sung các lớp sau, quan trọng,

• GzipWebClient - được sử dụng để giải nén bất kỳ tệp Gzip nào được tải xuống bởi bot:

Cập nhật danh sách tính năng

Threader - Gọi hàm luồng được sử dụng để chạy tệp và chạy nó trong bộ nhớ (Chạy trong bộ nhớ).

Phím Bot – PsixBot có một mã cứng, chungphím d trong tất cả các phiên bản:

Hoạt động mạng- PsixBot ban đầu sử dụng Google DNS, sau đó giao tiếp với DNS của chính nó:

Mô-đun cốt lõi trên mỗi phiên bản

FeautersList mỗi phiên bản

Lưu lượng mạng

PsixBot ban đầu kết nối với Google DNS sau đó kết nối với máy chủ DNS của chính nó tại greentown.hk:

193.32.188.136 (greentown.hk)

185.98.87.59 (greentown.hk)

IOC

a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa                   09-04-2019        Beta 1.0.0

0956cec17f1a8801042b8e6628f54e3156d05918              26-08-2019        1.0.2

4d3b1bd14ca92609fa8d1a536d814fd0d54c5666              03-02-2020        1.1

a16c7263a36a235db8c71477be3f2442a8a5f894              04-02-2020        1.1.0.2

1e29be939667354a8fe9477179c6851622118e23             12-02-2020        1.1.0.4

193.32.188.136 (greentown.hk)

185.98.87.59 (greentown.hk)

BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://blog.comodo.com/comodo-news/versions-of-psixbot/