Reklame
Af og til vises en ny malware-variant som en hurtig påmindelse om, at sikkerhedsindsatsen altid stiger. QakBot / Pinkslipbot bank Trojan er en af dem. Malware, ikke indhold med høst af bankoplysninger, kan nu blive hængende og fungere som en kontrolserver - længe efter at et sikkerhedsprodukt stopper dets oprindelige formål.
Hvordan forbliver OakBot / Pinkslipbot aktiv? Og hvordan kan du fjerne det helt fra dit system?
QakBot / Pinkslipbot
Denne bank-trojan har to navne: QakBot og Pinkslipbot. Selve malware er ikke ny. Det blev først implementeret i slutningen af 2000'erne, men forårsager stadig problemer over et årti senere. Trojan har nu modtaget en opdatering, der forlænger ondsindet aktivitet, selvom et sikkerhedsprodukt begrænser dets oprindelige formål.
Infektionen bruger universal plug-and-play (UPnP) til at åbne porte og tillade indgående forbindelser fra alle på Internettet. Pinkslipbot bruges derefter til at høste bankoplysninger. Den sædvanlige række ondsindede værktøjer: keyloggers, password stealers, MITM browser angreb, digital certifikat tyveri, FTP og POP3 legitimationsoplysninger og mere. Malware kontrollerer et botnet, der estimeres at indeholde over 500.000 computere. (
Hvad er et botnet alligevel? Er din pc en zombie? Og hvad er en Zombie-computer, alligevel? [MakeUseOf Explains]Har du nogensinde spekuleret på, hvor al Internet-spam kommer fra? Du modtager sandsynligvis hundredvis af spamfiltrerede uønskede e-mails hver dag. Betyder det, at der er hundreder og tusinder af mennesker derude, der sidder ... Læs mere )Malware hovedsageligt fokuserer på den amerikanske banksektor, hvor 89 procent af inficerede enheder findes i enten finans-, forretnings- eller kommercielle bankfaciliteter.
En ny variant
Forskere på McAfee Labs opdaget den nye Pinkslipbot-variant.
”Da UPnP antager, at lokale applikationer og enheder er pålidelige, tilbyder det ingen sikkerhedsbeskyttelse og er tilbøjelig til misbrug af enhver inficeret maskine på netværket. Vi har observeret flere Pinkslipbot-kontrolserverproxy, der er vært på separate computere på samme hjem netværk såvel som hvad der ser ud til at være et offentligt Wi-Fi-hotspot, ”siger McAfee Anti-Malware Researcher Sanchit Karve. ”Så vidt vi ved er Pinkslipbot den første malware, der bruger inficerede maskiner som HTTPS-baserede kontrolserver, og den anden eksekverbare-baserede malware, der bruger UPnP til portvideresendelse efter berygtet Conficker orm i 2008. ”
Derfor forsøger McAfee-forskerteamet (og andre) at finde præcist, hvordan en inficeret maskine bliver en proxy. Forskere mener, at tre faktorer spiller en betydelig rolle:
- En IP-adresse beliggende i Nordamerika.
- En højhastighedsinternetforbindelse.
- Muligheden for at åbne porte på en internetgateway ved hjælp af UPnP.
F.eks. Henter malware malware et billede ved hjælp af Comcast's SPEED-testtjeneste til at kontrollere, at der er tilstrækkelig båndbredde til rådighed.
Når Pinkslipbot finder en passende målmaskine, udsteder malware en Simple Service Discovery Protocol-pakke til at lede efter internet Gateway Devices (IGD). Til gengæld kontrolleres IGD for tilslutningsmuligheder, med et positivt resultat, der ser oprettelsen af regler for portvideresendelse.
Som et resultat, når malware-forfatteren beslutter, om en maskine er velegnet til infektion, downloader og distribuerer en binær trojansk. Dette er ansvarligt for kontrolserverens proxy-kommunikation.
Svær at udslette
Selv hvis din antivirus- eller anti-malware-pakke med succes har fundet og fjernet QakBot / Pinkslipbot, er der en chance for, at den stadig fungerer som en kontrolserver-proxy for malware. Din computer kan godt stadig være sårbar, uden at du ved det.
“De portvideresendelsesregler, der er oprettet af Pinkslipbot, er for generiske til automatisk at fjerne uden at risikere utilsigtede fejlkonfiguration af netværket. Og da de fleste malware ikke forstyrrer portvideresendelse, kan anti-malware-løsninger muligvis ikke vende tilbage til sådanne ændringer, ”siger Karve. ”Desværre betyder det, at din computer stadig kan være sårbar overfor angreb udefra, selvom dit antimalware-produkt har fjernet alle Pinkslipbot-binære filer fra dit system.”
Malware indeholder ormkapabilitter Vira, spyware, malware osv. Forklaret: At forstå trusler onlineNår du begynder at tænke på alle de ting, der kan gå galt, når du surfer på Internettet, begynder internettet at se ud som et temmelig skræmmende sted. Læs mere , hvilket betyder, at det kan selvreplicere gennem delte netværksdrev og andre flytbare medier. Ifølge IBM X-Force forskere, har det forårsaget Active Directory (AD) lockouts, og tvunget ansatte i berørte bankorganisationer offline i flere timer ad gangen.
En kort guide til fjernelse
McAfee har frigivet Pinkslipbot Control Server Proxy-detektion og fjernelse af portvideresendelse (eller PCSPDPFRT, for kort... Jeg spøger). Værktøjet kan downloades lige her. Desuden er en kort brugermanual tilgængelig her [PDF].
Når du har hentet værktøjet, skal du højreklikke og Kør som administrator.
Værktøjet scanner automatisk dit system i "detekteringstilstand." Hvis der ikke er nogen ondsindet aktivitet, lukkes værktøjet automatisk uden at foretage ændringer i dit system eller routerkonfiguration.
Hvis værktøjet dog registrerer et ondsindet element, kan du ganske enkelt bruge /del kommando til at deaktivere og fjerne reglerne for portvideresendelse.
Undgå detektion
Det er lidt overraskende at se en bank-trojan af denne sofistikering.
Bortset fra den førnævnte Conficker-orm, er "information om ondsindet brug af UPnP af malware knap." Mere pertinent er det et klart signal om, at IoT-enheder, der bruger UPnP, er et enormt mål (og sårbarhed). Når IoT-enheder bliver allestedsnærværende, skal du indrømme, at cyberkriminelle har en gylden mulighed. (Selv dit køleskab er i fare! Samsungs Smart Køleskab er lige blevet fyret. Hvad med resten af dit smarte hjem?En sårbarhed med Samsungs smart køleskab blev opdaget af UK-baserede infosec-firma Pen Test Parters. Samsungs implementering af SSL-kryptering kontrollerer ikke gyldigheden af certifikaterne. Læs mere )
Men mens Pinkslipbot overgår til en vanskelig at fjerne malware-variant, er den stadig kun rangeret som nr. 10 i de mest udbredte økonomiske malware-typer. Den øverste placering ejes stadig af Klient Maximus.
Afbødning er fortsat nøglen til at undgå finansiel malware, det være sig den forretnings-, virksomheds- eller hjemmebrugere. Grunduddannelse mod phishing Sådan finder du en phishing-e-mailDet er svært at fange en phishing-e-mail! Svindlere udgør som PayPal eller Amazon og prøver at stjæle din adgangskode og kreditkortoplysninger, hvor deres bedrag er næsten perfekt. Vi viser dig, hvordan du finder stedet svig. Læs mere og andre former for målrettet ondsindet aktivitet Sådan bruger svindlere phishing-e-mails til at målrette mod studerendeAntallet af svindel, der er rettet mod studerende, er stigende, og mange falder i disse fælder. Her er hvad du skal vide, og hvad du skal gøre for at undgå dem. Læs mere gå en massiv måde at stoppe denne type infektion ind i en organisation - eller endda dit hjem.
Påvirkes af Pinkslipbot? Var det derhjemme eller din organisation? Blev du låst ud af dit system? Fortæl os dine oplevelser nedenfor!
Billedkredit: akocharm via Shutterstock
Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret ud fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.