Reklaam

Aeg-ajalt ilmub uus pahavaravariant kiire meeldetuletusena, et turvapanused tõusevad alati. QakBoti / Pinkslipboti panganduse trooja on üks neist. Pahavara, mis ei rahulda pangamandaadi koristamist, võib nüüd jõuda ja toimida kontrollserverina - kaua pärast seda, kui turbetoode lõpetab oma algse eesmärgi.

Kuidas OakBot / Pinkslipbot aktiivseks jääb? Ja kuidas saate selle oma süsteemist täielikult eemaldada?

QakBot / Pinkslipbot

Sellel Trooja pangal on kaks nime: QakBot ja Pinkslipbot. Pahavara ise pole uus. Esmakordselt võeti kasutusele 2000. aastate lõpus, kuid see tekitab probleeme veel kümmekond aastat hiljem. Nüüd on troojalane saanud värskenduse, mis pikendab pahatahtlikku tegevust, isegi kui turbetoode piirab selle algset eesmärki.

Infektsioon kasutab pordi avamiseks ja sissetulevate ühenduste lubamiseks ükskõik kellelt Internetist universaalset pistikmängu (UPnP). Seejärel kasutatakse Pinkslipbotit pangamandaatide kogumiseks. Tavaline arv ründevahendeid: klahvilogijad, paroolide varastajad, MITM-i brauserirünnakud, digitaalsete sertifikaatide vargused, FTP ja POP3 mandaadid ja palju muud. Pahavara juhib botivõrku, mis sisaldab hinnanguliselt üle 500 000 arvuti. (

Mis on ikkagi robotivõrk? Kas teie arvuti on zombie? Ja mis ikkagi on zombi arvuti? [MakeUseOf selgitab]Kas olete kunagi mõelnud, kust pärineb kogu Interneti rämpspost? Tõenäoliselt saate iga päev sadu rämpspostiga filtreeritud rämpsposti. Kas see tähendab, et seal on sadu ja tuhandeid inimesi, kes istuvad ... Loe rohkem )

Pahavara keskendub peamiselt USA pangandussektorile: 89 protsenti nakatunud seadmetest leitakse kas riigikassadest, ettevõtete või äripanganduse vahenditest.

pangandussektorite nakatumine pinkslipbot
Kujutise krediit: IBM X-Force

Uus variant

McAfee Labsi teadlased avastatud uus Pinkslipboti variant.

„Kuna UPnP eeldab, et kohalikud rakendused ja seadmed on usaldusväärsed, ei paku see turbekaitset ja on kalduvusele võrgus nakatunud masinate kuritarvitamisele. Oleme täheldanud mitu Pinkslipboti juhtserveri puhverserverit, mida hostitakse sama kodu eraldi arvutites võrku ja ka seda, mis näib olevat avalik WiFi leviala, ”ütleb McAfee pahavaravastase teadlase Sanchit Karve. „Niipalju kui me teame, on Pinkslipbot esimene pahavara, mis kasutab nakatunud masinaid HTTPS-põhiste juhtserveritena, ja teine ​​käivitatav põhinev pahavara, mis kasutab UPnP-d sadamate edastamiseks pärast kurikuulus Confickeri uss aastal 2008. ”

Järelikult üritavad McAfee'i uurimisrühm (ja teised) täpselt kindlaks teha, kuidas nakatunud masin puhverserveriks saab. Teadlaste arvates mängib olulist rolli kolm tegurit:

  1. IP-aadress asub Põhja-Ameerikas.
  2. Kiire Interneti-ühendus.
  3. Võimalus UPnP abil Interneti-lüüsis pordi avada.

Näiteks laadib pahavara pildi alla, kasutades teenust Comcast'sSpeed ​​Test, et kontrollida veelkord, kas ribalaius on saadaval.

Kui Pinkslipbot leiab sobiva sihtmasina, väljastab pahavara Interneti-lüüsiseadmete (IGD) otsimiseks lihtsa teenuseotsingu protokolli paketi. Omakorda kontrollitakse IGD ühenduvust, positiivse tulemusega nähakse pordi edastamise reeglite loomist.

Selle tulemusel laadib Trooja binaar alla ja juurutab pärast seda, kui pahavara autor otsustab, kas masin sobib nakatumiseks. See vastutab juhtserveri puhverserveri kommunikatsiooni eest.

Raske kustutada

Isegi kui teie viirusetõrje- või pahavaravastane komplekt on QakBot / Pinkslipbot edukalt tuvastanud ja eemaldanud, on siiski võimalus, et see töötab pahavara kontrollserveri puhverserverina. Teie arvuti võib ikkagi olla haavatav, ilma et te sellest aru saaksite.

„Pinkslipboti loodud pordi edastamise reeglid on liiga üldised, et neid automaatselt eemaldada, ilma et peaksite riskima juhuslike võrgu valesti konfigureerimisega. Ja kuna suurem osa pahavarast ei sega pordi edastamist, ei pruugi pahavaravastased lahendused selliseid muudatusi tagasi tuua, “ütleb Karve. "Kahjuks tähendab see, et teie arvuti võib ikkagi olla väliste rünnakute suhtes haavatav, isegi kui teie nuhkvaratõrjetoode on teie süsteemist edukalt eemaldanud kõik Pinkslipboti kahendfailid."

Pahavara sisaldab usside võimeid Viirused, nuhkvara, pahavara jne Selgitatud: veebiohtude mõistmineKui hakkate mõtlema kõikidele asjadele, mis võivad Interneti sirvimisel valesti minna, hakkab veeb tunduma üsna jube koht. Loe rohkem , mis tähendab, et see saab ühiskasutatavate võrguketaste ja muude eemaldatavate kandjate kaudu ise replitseerida. IBM X-Force teadlaste sõnul, on see põhjustanud Active Directory (AD) blokeeringud, sundides mõjutatud pangandusorganisatsioonide töötajaid tundide kaupa offline.

Lühike eemaldamisjuhend

McAfee on välja andnud Pinkslipboti juhtserveri puhverserveri tuvastamise ja pordi edastamise eemaldamise tööriist (või PCSPDPFRT, lühidalt... ma teen nalja). Tööriist on allalaadimiseks saadaval siin samas. Lisaks on saadaval lühike kasutusjuhend siin [PDF].

Kui olete tööriista alla laadinud, paremklõpsake ja Käivitage administraatorina.

Tööriist skannib teie süsteemi automaatselt tuvastusrežiimis. Kui pole ühtegi pahatahtlikku tegevust, sulgub tööriist automaatselt, ilma et teie süsteemi või ruuteri konfiguratsioonis muudatusi tehtaks.

pinkslipbot puhverserveri juhtserveri eemaldamise tööriist mcafee poolt

Kui aga tööriist tuvastab pahatahtliku elemendi, saate seda lihtsalt kasutada /del käsk pordi edastamise reeglite keelamiseks ja eemaldamiseks.

Tuvastamise vältimine

Mõneti üllatav on näha seda keerukust omavat pangandust käsitlevat troojalast.

Peale ülalnimetatud Confickeri ussi, on teavet UPnP pahatahtliku kasutamise kohta pahavaraga vähe. " Täpsemalt öeldes on see selge signaal, et UPnP-d kasutavad Interneti-seadmed on tohutu sihtmärk (ja haavatavus). Kuna asjade Interneti-seadmed muutuvad kõikjal kasutusse, peate tunnistama, et küberkurjategijatel on kuldne võimalus. (Isegi teie külmik on ohus! Samsungi nutikülmik sai just käima tõmmatud. Kuidas on lood ülejäänud oma targa koduga?Suurbritannias asuv infosek-ettevõte Pen Test Parters avastas Samsungi nutika külmikuga haavatavuse. Samsungi SSL-krüptimise rakendamine ei kontrolli sertifikaatide kehtivust. Loe rohkem )

Kuid kuigi Pinkslipbot läheb üle raskesti eemaldatava pahavara variandiks, on see endiselt kõige levinumate finantsviiruse tüüpide edetabelis nr 10. Esikohta hoiab endiselt Klient Maximus.

IBM-i populaarseimad pahavara tüübid
Pildikrediit: IMB X-Force

Leevendamine on endiselt võtmeroll rahalise pahavara vältimiseks, olgu see siis ettevõte, ettevõte või kodukasutaja. Põhiharidus andmepüügi vastu Kuidas õngevõtmise e-posti otsidaAndmepüügimeili püüdmine on keeruline! Petturid poseerivad PayPali või Amazonina, püüdes teie parooli ja krediitkaarditeavet varastada, on nende petmine peaaegu täiuslik. Näitame teile, kuidas pettusi märgata. Loe rohkem ja muud sihipärase pahatahtliku tegevuse vormid Kuidas petturid kasutavad andmepüügikirju õpilaste sihtimiseksÕpilastele suunatud pettuste arv kasvab ja paljud satuvad nendesse lõksu. Siit saate teada, mida peate teadma ja mida peaksite tegema nende vältimiseks. Loe rohkem liikuge laialdaselt seda tüüpi nakkuse peatamisse organisatsiooni või isegi oma koju.

Mõjutatud Pinkslipbotist? Kas see oli kodus või teie organisatsioonis? Kas sa olid su süsteemist välja lülitatud? Andke meile oma kogemustest teada allpool!

Pildikrediit: akocharm Shutterstocki kaudu

Gavin on MUO vanemkirjanik. Ta on ka MakeUseOfi krüpteerimisele keskendunud õdede saidi Blocks Decoded toimetaja ja SEO Manager. Tal on BA (Hons) kaasaegne kirjutamine koos digitaalse kunsti praktikatega, mis on rüüstatud Devoni künkadest, samuti üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib ohtralt teed.