Annons
Då och då visas en ny skadlig variant som en snabb påminnelse om att säkerhetsstake alltid stiger. QakBot / Pinkslipbot bank Trojan är en av dem. Den skadliga programvaran, som inte är nöjd med att skörda bankkrediter, kan nu dröja och fungera som en kontrollserver - långt efter att en säkerhetsprodukt slutar sitt ursprungliga syfte.
Hur förblir OakBot / Pinkslipbot aktiv? Och hur kan du ta bort det helt från ditt system?
QakBot / Pinkslipbot
Denna bank-trojan har två namn: QakBot och Pinkslipbot. Själva skadlig programvaran är inte ny. Det distribuerades först i slutet av 2000-talet, men orsakar fortfarande problem över ett decennium senare. Nu har trojanen fått en uppdatering som förlänger skadlig aktivitet, även om en säkerhetsprodukt begränsar sitt ursprungliga syfte.
Infektionen använder universal plug-and-play (UPnP) för att öppna portar och tillåta inkommande anslutningar från vem som helst på internet. Pinkslipbot används sedan för att skörda bankkrediter. Det vanliga utbudet av skadliga verktyg: keyloggers, lösenordsstealers, MITM webbläsare attacker, digital certifikatstöld, FTP och POP3 referenser och mer. Det skadliga programmet styr ett botnet som beräknas innehålla över 500 000 datorer. (
Vad är ändå ett botnet? Är din dator en zombie? Och vad är en Zombie-dator, hur som helst? [MakeUseOf Explains]Har du någonsin undrat var allt internet-skräppost kommer från? Du får antagligen hundratals skräppostfiltrerade skräppostmeddelanden varje dag. Betyder det att det finns hundratusentals människor där ute som sitter ... Läs mer )Den skadliga programvaran fokuserar främst på den amerikanska banksektorn, med 89 procent av infekterade enheter som finns i antingen finans-, företags- eller kommersiella bankanläggningar.
En ny variant
Forskare på McAfee Labs upptäckt den nya Pinkslipbot-varianten.
”Eftersom UPnP antar att lokala applikationer och enheter är pålitliga, erbjuder det inga säkerhetsskydd och är benägna att missbrukas av någon infekterad maskin i nätverket. Vi har observerat flera Pinkslipbot-kontrollserverproxy som finns på separata datorer på samma hem nätverk såväl som vad som verkar vara en offentlig Wi-Fi-hotspot, säger McAfee Anti-Malware Researcher Sanchit Karve. "Så vitt vi vet är Pinkslipbot det första skadliga programmet som använder infekterade maskiner som HTTPS-baserade kontrollserver och den andra körbara malware som använder UPnP för port-vidarebefordran efter ökända Conficker-mask 2008."
Följaktligen försöker McAfee-forskarteamet (och andra) fastställa exakt hur en infekterad maskin blir proxy. Forskare tror att tre faktorer spelar en viktig roll:
- En IP-adress i Nordamerika.
- En höghastighetsanslutning till internet.
- Möjligheten att öppna portar på en Internet-gateway med UPnP.
Exempelvis laddar ner skadlig programvara en bild med hjälp av Comcast'sSpeed Test-tjänst för att dubbelkontrollera att det finns tillräcklig bandbredd.
När Pinkslipbot hittar en lämplig målmaskin, utfärdar skadlig programvara ett Simple Service Discovery Protocol-paket för att leta efter Internet Gateway-enheter (IGD). I sin tur kontrolleras IGD för anslutning, med ett positivt resultat för att skapa regler för port-vidarebefordran.
Som ett resultat, när malware-författaren beslutar om en maskin är lämplig för infektion, laddas ner en trojansk binär. Detta ansvarar för kontrollserverens proxy-kommunikation.
Svårt att utplåna
Även om din antivirus- eller anti-malware-svit framgångsrikt har upptäckt och tagit bort QakBot / Pinkslipbot, finns det en chans att det fortfarande fungerar som en kontrollserverproxy för skadlig programvara. Datorn kan kanske fortfarande vara sårbar utan att du inser det.
”De port-vidarebefordringsregler som skapats av Pinkslipbot är för generiska för att ta bort automatiskt utan att riskera oavsiktliga felkonfigurationer i nätverket. Och eftersom de flesta skadliga program inte stör port vidarebefordran, kanske anti-malware-lösningar inte kan återvända till sådana förändringar, säger Karve. "Tyvärr betyder det att din dator fortfarande kan vara sårbar för attacker utanför även om din antimalware-produkt framgångsrikt har tagit bort alla Pinkslipbot-binärer från ditt system."
Det skadliga programmet innehåller maskkapabiliter Virus, spionprogram, skadlig programvara etc. Förklarade: Förstå hot på nätetNär du börjar tänka på alla saker som kan gå fel när du surfar på internet börjar webben se ut som en ganska läskig plats. Läs mer , vilket innebär att den kan självreplicera genom delade nätverksenheter och andra flyttbara media. Enligt IBM X-Force forskare, det har orsakat Active Directory (AD) -låsningar, vilket tvingat anställda i berörda bankorganisationer offline timmar åt gången.
En kort borttagningsguide
McAfee har släppt Pinkslipbot Control Server Proxy Detection and Port-Forwarding Removal Tool (eller PCSPDPFRT, för kort... Jag skämt). Verktyget är tillgängligt för nedladdning precis här. Dessutom finns en kort användarmanual här [PDF].
När du har laddat ner verktyget högerklickar du och Kör som administratör.
Verktyget skannar automatiskt ditt system i "detekteringsläge." Om det inte finns någon skadlig aktivitet stängs verktyget automatiskt utan att göra några ändringar i ditt system eller routerkonfiguration.
Men om verktyget upptäcker ett skadligt element kan du helt enkelt använda /del kommando för att inaktivera och ta bort reglerna för vidarebefordran av portar.
Undvika upptäckt
Det är något överraskande att se en bank-trojan av denna sofistikerade.
Förutom den ovannämnda Conficker-masken är information om skadlig användning av UPnP av skadlig programvara knapp. " Mer relevant är det en tydlig signal att IoT-enheter som använder UPnP är ett enormt mål (och sårbarhet). När IoT-enheter blir allestädes närvarande måste du erkänna att cyberbrottslingar har en gyllene möjlighet. (Även ditt kylskåp är i fara! Samsungs Smart Kylskåp Just Got Pwned. Vad sägs om resten av ditt smarta hem?En sårbarhet med Samsungs smarta kylskåp upptäcktes av UK-baserade infosecföretag Pen Test Parters. Samsungs implementering av SSL-kryptering kontrollerar inte certifikatens giltighet. Läs mer )
Men medan Pinkslipbot övergår till en svår att ta bort skadlig programvariant, rankas den fortfarande bara # 10 i de vanligaste typerna av skadlig programvara. Toppplatsen innehas fortfarande av Klient Maximus.
Avvänjning förblir nyckeln till att undvika ekonomisk skadlig programvara, vare sig det är företag, företag eller hemmabruk. Grundutbildning mot phishing Hur man hittar en phishing-e-postAtt fånga ett phishing-mejl är tufft! Scammers poserar som PayPal eller Amazon, försöker stjäla ditt lösenord och kreditkortsinformation, är deras bedrägeri nästan perfekt. Vi visar dig hur du kan upptäcka bedrägeri. Läs mer och andra former av riktad skadlig aktivitet Hur scammers använder phishing-e-post för att rikta studenterAntalet bedrägerier riktade till studenter ökar och många faller i dessa fällor. Här är vad du behöver veta och vad du bör göra för att undvika dem. Läs mer gå ett massivt sätt att stoppa denna typ av infektion in i en organisation - eller till och med ditt hem.
Påverkas av Pinkslipbot? Var det hemma eller din organisation? Var du låst ur ditt system? Låt oss veta dina erfarenheter nedan!
Bildkredit: akocharm via Shutterstock
Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.