Slik sjekker du om du har Harbor Pinkslipbot Malware
Fra og med vises en ny malwarevariant som en rask påminnelse om at sikkerhetsinntakene alltid stiger. QakBot / Pinkslipbot banktjenester trojan er en av dem. Malware, ikke fornøyd med høsting av bankinformasjon, kan nå ligge og fungere som en kontrollserver - lenge etter at et sikkerhetsprodukt stopper sin opprinnelige hensikt.
Hvordan forblir OakBot / Pinkslipbot aktiv? Og hvordan kan du helt fjerne den fra systemet ditt?
QakBot / Pinkslipbot
Denne banken trojan går av to navn: QakBot og Pinkslipbot. Malware selv er ikke nytt. Det ble først distribuert på slutten av 2000-tallet, men forårsaker fortsatt problemer over et tiår senere. Nå har trojanen mottatt en oppdatering som forlener ondsinnet aktivitet, selv om et sikkerhetsprodukt begrenser sitt opprinnelige formål.
Infeksjonen bruker universell plug-and-play (UPnP) for å åpne porter og tillate innkommende tilkoblinger fra alle på internett. Pinkslipbot brukes da til å høste bankopplysninger. Det vanlige spekteret av ondsinnede verktøy: keyloggers, passordstøvere, MITM-nettleserangrep, digitale sertifikattyver, FTP- og POP3-legitimasjon, og mer. Malware kontrollerer et botnet som anslås å inneholde over 500 000 datamaskiner. (Hva er en botnet, uansett? Er din PC en Zombie? Og hva er en Zombie Computer, uansett? [MakeUseOf Forklarer] Er din PC en Zombie? Og hva er en Zombie Computer, uansett? [MakeUseOf Forklarer] Har du noen gang lurt på hvor alt av Internett-spam kommer fra? Du mottar sannsynligvis hundrevis av spamfiltrede junk-e-postmeldinger hver dag. Betyr det at det er hundrevis og tusen mennesker der ute, sitter ... Les mer)
Malware fokuserer overveiende på den amerikanske banksektoren, med 89 prosent av infiserte enheter funnet i enten treasury, corporate eller commerical bankfasiliteter.
En ny variant
Forskere ved McAfee Labs oppdaget den nye Pinkslipbot-varianten.
“Ettersom UPnP påtar seg lokale applikasjoner, og enheter er pålitelige, tilbyr det ingen sikkerhetsbeskyttelse og er utsatt for misbruk av en smittet maskin på nettverket. Vi har observert flere Pinkslipbot-kontrollserver-proxyer som er vert på separate datamaskiner på samme hjemmenettverk, samt hva som synes å være et offentlig Wi-Fi-hotspot,” sier McAfee Anti-Malware Researcher Sanchit Karve. “Så langt vi vet, er Pinkslipbot den første skadelige programvaren for å bruke infiserte maskiner som HTTPS-baserte kontrollservere og den andre kjørbare baserte malware for å bruke UPnP for port videresending etter den beryktede Conficker-ormen i 2008.”
Derfor forsøker McAfee-forskerholdet (og andre) å fastslå nøyaktig hvordan en infisert maskin blir en proxy. Forskere mener at tre faktorer spiller en viktig rolle:
- En IP-adresse som ligger i Nord-Amerika.
- En høyhastighets internettforbindelse.
- Muligheten til å åpne porter på en internettgateway ved hjelp av UPnP.
For eksempel laster malware ned et bilde ved hjelp av Comcast'sSpeed Test-tjenesten for å dobbeltsjekke at det er tilstrekkelig båndbredde tilgjengelig.
Når Pinkslipbot finner en passende målmaskin, utsteder malware en pakke med enkel serviceoppdagingsprotokoll for å lete etter internettgateway-enheter (IGD). IGD er i sin tur sjekket for tilkobling, med et positivt resultat å se etableringen av port-forwarding regler.
Som et resultat, når malwareforfatteren bestemmer om en maskin er egnet for infeksjon, laster en trojansk binær ned og distribueres. Dette er ansvarlig for kontrollserverens proxy-kommunikasjon.
Vanskelig å ulempe
Selv om anti-virus- eller anti-malware-pakken har oppdaget og fjernet QakBot / Pinkslipbot, er det en sjanse det fortsatt fungerer som en proxy for kontrollprogramvaren for malware. Datamaskinen din kan fortsatt være sårbar, uten at du skjønner.
“Port-videresending reglene opprettet av Pinkslipbot er for generiske for å fjerne automatisk uten å risikere utilsiktede nettverksmisconfigurasjoner. Og siden de fleste skadelig programvare ikke forstyrrer port-videresending, kan anti-malware-løsninger ikke returnere slike endringer,” sier Karve. “Dessverre betyr dette at datamaskinen din fortsatt kan være utsatt for utenfor angrep selv om antimalware-produktet ditt har fjernet alle Pinslipbot-binærene fra systemet..”
Malware-funksjonen inneholder ormegenskaper Virus, Spyware, Malware, etc. Forklart: Forstå Internett-trusler Virus, Spyware, Malware, etc. Forklart: Forstå Internett-trusler Når du begynner å tenke på alle de tingene som kan gå galt når du surfer på Internett, Internett begynner å se ut som et ganske skummelt sted. Les mer, noe som betyr at det kan kopiere seg selv via delte nettverksstasjoner og andre flyttbare medier. Ifølge IBM X-Force-forskere har det forårsaket Active Directory (AD) lockouts, og tvinger ansatte i berørte bankorganisasjoner frakoblet for flere timer om gangen..
En kort fjerningsguide
McAfee har gitt ut Pinkslipbot Control Server Proxy Detection og Port-Forwarding Removal Tool (eller PCSPDPFRT, for kort ... Jeg tuller). Verktøyet er tilgjengelig for nedlasting her. Videre er det en kort brukerveiledning tilgjengelig her [PDF].
Når du har lastet ned verktøyet, høyreklikker du og Kjør som administrator.
Verktøyet skanner automatisk ditt system “detekteringsmodus.” Hvis det ikke er skadelig aktivitet, lukkes verktøyet automatisk uten å gjøre endringer i systemet eller rutekonfigurasjonen.
Men hvis verktøyet oppdager et skadelig element, kan du ganske enkelt bruke / del kommandoen for å deaktivere og fjerne port-videresending regler.
Unngå deteksjon
Det er litt overraskende å se en bank-trojansk av denne sofistikasjonen.
Bortsett fra den førnevnte Conficker-ormen “Informasjon om skadelig bruk av UPnP av skadelig programvare er mangel på.” Mer pertinently er det et klart signal om at IoT-enheter som bruker UPnP er et stort mål (og sårbarhet). Som IoT-enheter blir allestedsnærværende, må du innrømme at cyberkriminelle har en gylden mulighet. (Selv om kjøleskapet ditt er i fare, er Samsungs Smart Kjøleskap bare blitt pwned.) Hva om resten av ditt smarte hjem? Samsungs Smart Kjøleskap ble bare pwned. Hva om resten av ditt smarte hjem? Et sårbarhet med Samsungs smarte kjøleskap ble oppdaget av Storbritannia -baserte infosec-firmaet Pen Test Parters. Samsungs implementering av SSL-kryptering kontrollerer ikke gyldigheten av sertifikatene. Les mer)
Men mens Pinkslipbot overgår til en vanskelig å fjerne malware variant, er den fortsatt bare rangert som # 10 i de mest utbredte økonomiske malware-typene. Topppunktet holdes fortsatt av Client Maximus.
Mitigation er fortsatt nøkkelen til å unngå økonomisk skadelig programvare, være den virksomheten, bedriften eller hjemmebrukeren. Grunnleggende utdanning mot phishing Slik sporer du en Phishing-e-post Slik sporer du en Phishing-e-post Det er vanskelig å få tak i en phishing-epost. Svindlere utgjør som PayPal eller Amazon, prøver å stjele ditt passord og kredittkortinformasjon, er deres bedrag er nesten perfekt. Vi viser deg hvordan du kan se svindelen. Les mer og andre former for målrettet ondsinnet aktivitet Hvordan svindlere bruker Phishing-e-post til å målrette elevene Hvordan svindlere bruker Phishing-e-post til å målrette elevene Antallet svindel rettet mot studenter stiger og mange faller inn i disse fellene. Her er hva du trenger å vite og hva du bør gjøre for å unngå dem. Les mer gå en massiv måte å stoppe denne typen infeksjon i en organisasjon - eller til og med ditt hjem.
Berørt av Pinkslipbot? Var det hjemme eller organisasjonen din? Var du låst ute av systemet ditt? Gi oss beskjed om dine erfaringer nedenfor!
Bildekreditt: akocharm via Shutterstock
Utforsk mer om: Malware, Trojan Horse.