阅读时间: 4 分钟
PSIXBOT的介绍:
PsiXBot是一种数据窃取木马,能够从受害者的计算机中收集机密数据和密码。 它可以窃取Cookie,从Firefox和Microsoft Outlook等应用程序中提取登录名/密码,记录受害者的击键,允许犯罪分子远程查看/与受害者的桌面进行交互,甚至可以将受害者的计算机添加到僵尸网络中。 它通常通过受感染的电子邮件附件,包含该机器人的在线广告以及其他社交工程方法进行传播。
最初的PsixBot恶意软件于2017年2019月出现,但在1.1.0.4年以beta格式发布之前经历了重大发展。此后进一步发展,目前在2020年XNUMX月的版本为XNUMX:
PsixBot 是在 .NET 框架中生成的。 本博客将带您了解 PsixBot 的各种迭代,以说明在线犯罪分子如何不断更新他们的 恶意软件 以提高其性能和功能。
PsixBot的行为
PsixBot更改了系统证书设置,从而赋予了它在主机上几乎无限的用户访问权限:
添加的键:
KEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
增值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesTrustedPeopleCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248Blob: 02 00 00 ……..
添加的文件:
C:文档和设置管理员应用程序数据
MicrosoftSystemCertificatesMyCertificates636D2838EB7A7F3A8E6B6F7CD035375E7E704248
测试1.0.0
本博客中介绍的PsixBot的第一个版本是Beta 1.0.0,其核心类为11。每个类都有其各自的任务。 在所有版本的PsixBot中使用以下基本类:
- 服务器对话 –用于初始化全局变量,创建与父服务器的连接以及来回发送结果。
- 运行内存 –用于实际执行文件。
- SYSINFO –用于获取有关用户系统的信息,包括防病毒名称,CPU,Windows版本,用户类型和用户权限。
- 捕获结束会话 –用于创建隐藏的自动运行。
- 删除属性 – 用于杀死系统的 杀毒软件、Windows 资源管理器和任何系统错误警报。
- 是管理员 –用于假设管理员组的成员身份。
- 病毒 –检测是否存在任何虚拟机。
- 解析位 –用于解析来自用户的DNS请求。
- RC4 –用于加密和解密数据的算法。
- Install 安装 –安装bot文件并设置文件的安全性和更新模块。
版本 1.0.2
Beta 1.0.2保留了第一个版本的基本类功能,但对某些类进行了如下重命名:
- 服务器对话—— 重命名为 工作人员
- 运行内存 – 重命名为 内存模块工作者
- 系统信息 – 重命名为 系统助手
…并添加了以下类:
- DNS工作者 –用于获取主机条目并ping主机以检查其是否启动。
版本 1.1
版本1.1再次保留了与其先前版本相同的类结构,但在功能列表中添加了以下任务:
- 福特– 用于获取temp变量的路径,设置DLL目录并将其写入.dat文件:
版本 1.1.0.2
1.1.0.2版更新了 福格 功能与其他功能列表结合在一起。 所有其他班级和活动保持不变。
版本 1.1.0.4
同样,基本类与以前的版本相同,但增加了以下重要的类
- GzipWeb客户端 –用于解压缩该机器人下载的所有Gzip文件:
功能列表更新
穿线器– 调用用于运行文件的线程函数并将其运行到内存中(运行内存).
机器人钥匙 – PsixBot具有通用的硬代码所有版本中的d键:
网络活动– PsixBot最初使用Google DNS,然后与自己的DNS通信:
每个版本的核心模块
每个版本的功能列表
网络流量
PsixBot最初连接到Google DNS,然后连接到自己的DNS服务器,网址为 绿城.hk:
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
国际奥林匹克委员会
a85e280e24099a2ffb5ea6efbe3fcb6fbc0c8cfa 09-04-2019 Beta 1.0.0
0956cec17f1a8801042b8e6628f54e3156d05918 26-08-2019 1.0.2
4d3b1bd14ca92609fa8d1a536d814fd0d54c5666 03-02-2020 1.1
a16c7263a36a235db8c71477be3f2442a8a5f894 04-02-2020 1.1.0.2
1e29be939667354a8fe9477179c6851622118e23 12-02-2020 1.1.0.4
193.32.188.136(greentowns.hk)
185.98.87.59(greentowns.hk)
该职位 PSIXBOT版本 最早出现 科摩多新闻和互联网安全信息.
- "
- 11
- 2019
- 2020
- 420
- 70
- 98
- a
- 关于我们
- ACCESS
- 活动
- 添加
- 增加
- 管理员
- 算法
- 所有类型
- 分析
- 杀毒软件
- 分析数据
- 应用领域
- before
- 测试
- 黑色
- 阻止
- 博客
- 博特
- 僵尸网络
- 能力
- 证书
- 程
- 类
- 结合
- 相当常见
- 一台
- 地都
- 经常
- 曲奇饼
- 核心
- 创建信息图
- 罪犯
- 目前
- data
- 通过电脑捐款
- 发达
- 研发支持
- 屏 显:
- DNS
- 文件
- 每
- 邮箱地址
- 工程师
- 专栏
- 特征
- 二月 二零二二年
- 火狐
- 姓氏:
- 以下
- 如下
- 格式
- 骨架
- Free
- 止
- 功能
- 功能
- 进一步
- 产生
- 全球
- 谷歌
- 团队
- 野生捕捞
- 创新中心
- HTTPS
- 图片
- 重要
- 改善
- 包含
- 个人
- 信息
- 网络
- 互联网安全
- IT
- 键
- 清单
- 机
- 机
- 恶意软件
- 籍
- 内存
- 方法
- 微软
- 最先进的
- 净
- 网络
- 消息
- 在线
- 其他名称
- Outlook
- 己
- 密码
- 性能
- 平
- 存在
- 以前
- 记录
- 保持
- 要求
- 成果
- 运行
- 同
- 保安
- 集
- 显著
- 自
- 社会
- 社会工程学
- 一些
- 传播
- 标准
- 看台
- 系统
- 通过
- 次
- 交通
- 木马
- 无限
- 更新
- 各个
- 版本
- 在线会议
- 是否
- 窗户