Hur man kontrollerar om du hamnar på Pinkslipbot Malware

Då och då visas en ny malwarevariant som en snabb påminnelse om att säkerhetsinsatserna alltid stiger. QakBot / Pinkslipbot banks trojan är en av dem. Malware, inte nöjd med att sköta bankuppgifter, kan nu dröja och fungera som en kontrollserver - långt efter att en säkerhetsprodukt slutar sitt ursprungliga syfte.

Hur förblir OakBot / Pinkslipbot aktiv? Och hur kan du helt ta bort det från ditt system?

QakBot / Pinkslipbot

Denna banktrojan går av två namn: QakBot och Pinkslipbot. Själva malware i sig är inte nytt. Den användes först i slutet av 2000-talet, men orsakar fortfarande problem över ett decennium senare. Nu har trojanen fått en uppdatering som förlänger skadlig aktivitet, även om en säkerhetsprodukt begränsar sitt ursprungliga syfte.

Infektionen använder universal plug-and-play (UPnP) för att öppna portar och tillåta inkommande anslutningar från alla på internet. Pinkslipbot används sedan för att skörda bankuppgifter. Det vanliga utbudet av skadliga verktyg: keyloggers, lösenordsstyrare, MITM-webbläsareattacker, digitalt certifikatstöld, FTP- och POP3-uppgifter, och mer. Malware kontrollerar en botnet som beräknas innehålla över 500 000 datorer. (Vad är en botnet, hur som helst? Är din dator en zombie? Och vad är en Zombie Computer, hur som helst? [MakeUseOf Explains] Är din dator en zombie? Och vad är en Zombie Computer, hur som helst? [MakeUseOf Explains] Har du någonsin undrat var alla av Internet-spam kommer från? Du får antagligen hundratals spamfiltrerade skräppostar varje dag. Betydar det att det finns hundratusentals människor ute och sitter ... Läs mer)

Malware överväger främst den amerikanska banksektorn, med 89 procent av infekterade enheter som finns i antingen treasury, corporate eller commerical banking facilities.

En ny variant

Forskare vid McAfee Labs upptäckte den nya Pinkslipbot-varianten.

“Eftersom UPnP förutsätter lokala applikationer och enheter är pålitliga, erbjuder det inga säkerhetsskydd och är utsatta för missbruk av smittade maskiner i nätverket. Vi har observerat flera Pinkslipbot-kontrollserverns proxyer som finns på separata datorer i samma hemnätverk, liksom vad som verkar vara en offentlig Wi-Fi-hotspot,” säger McAfee Anti-Malware Researcher Sanchit Karve. “Såvitt vi vet är Pinkslipbot den första skadliga programvaran för att använda infekterade maskiner som HTTPS-baserade kontrollservrar och den andra körbar baserade skadliga programvaran för att använda UPnP för port vidarebefordran efter den ökända Conficker-masken 2008.”

Följaktligen försöker McAfee-forskargruppen (och andra) att fastställa exakt hur en smittad maskin blir en proxy. Forskare tror att tre faktorer spelar en viktig roll:

1. En IP-adress som ligger i Nordamerika.
2. En höghastighetsinternetanslutning.
3. Möjligheten att öppna portar på en internetgateway med UPnP.

Till exempel laddar malware ner en bild med Comcast'sSpeed ​​Test-tjänsten för att dubbelkontrollera att det finns tillräcklig bandbredd tillgänglig.

När Pinkslipbot hittat en lämplig målmaskin, utfärdar malware ett paket för Simple Service Discovery Protocol för att leta efter Internet Gateway Devices (IGD). IGD kontrolleras i sin tur för anslutning, med ett positivt resultat med att skapa regler för port-forwarding.

Som en följd, när en malware författare bestämmer om en maskin är lämplig för infektion, laddar en trojansk binär ner och installerar. Detta är ansvarigt för proxykommunikation för kontrollservern.

Svårt att utblåsa

Även om din anti-virus eller anti-malware-svit framgångsrikt har detekterat och tagit bort QakBot / Pinkslipbot, finns det en chans att det fortfarande fungerar som en proxyserver för proxy för malware. Din dator kan fortfarande vara sårbar, utan att du förstår.

“Portförmedlingsreglerna som skapats av Pinkslipbot är för generiska för att ta bort automatiskt utan att riskera oavsiktliga nätverksmisconfigurationer. Och eftersom de flesta skadliga programmen inte stämmer överens med port-vidarebefordran, kan anti-malware-lösningar inte återställa sådana ändringar,” säger Karve. “Tyvärr betyder det att datorn fortfarande kan vara känslig för yttre attacker, även om din antimalwareprodukt framgångsrikt har tagit bort alla Pinkslipbot-binärer från ditt system.”

Den skadliga programvaran har worm-capabilites Virus, spionprogram, skadlig kod, etc. Förklarade: Förstå virus mot virus, spionprogram, skadlig kod, etc. Förklarade: Förstå onlinehot När du börjar tänka på alla saker som kan gå fel när du surfar på Internet, webben börjar se ut som en ganska skrämmande plats. Läs mer, vilket innebär att det kan replikeras via delade nätverksenheter och andra flyttbara medier. Enligt IBM X-Force-forskare har det orsakat Active Directory (AD) lockouts, vilket tvingar anställda i berörda bankorganisationer offline för timmar i taget.

En kort borttagningsguide

McAfee har släppt Pinkslipbot Control Server Proxy Detection och Port-Forwarding Removal Tool (eller PCSPDPFRT, för kort ... jag skojar). Verktyget är tillgängligt för nedladdning här. Dessutom finns en kort bruksanvisning här [PDF].

När du har laddat ner verktyget högerklickar du och Kör som administratör.

Verktyget söker automatiskt ditt system “detekteringsläge.” Om det inte finns någon skadlig aktivitet stängs verktyget automatiskt utan att några ändringar görs i ditt system eller router konfiguration.

Om verktyget upptäcker ett skadligt element kan du dock helt enkelt använda / del kommandot att inaktivera och ta bort reglerna för vidarebefordran av portar.

Undvik upptäckt

Det är lite förvånande att se en banktrojansk av denna sofistikerade.

Bortsett från ovannämnda Conficker-mask “Information om skadlig användning av UPnP av skadlig programvara är knapp.” Mer tydligt är det en tydlig signal att IoT-enheter som använder UPnP är ett stort mål (och sårbarhet). Eftersom IoT-enheter blir allestädes närvarande måste man erkänna att cyberkriminella har ett gyllene tillfälle. (Även ditt kylskåp är i fara! Samsungs Smart Kylskåp har bara blivit pwned. Hur om resten av ditt smarta hem? Samsungs smarta kylskåp har bara blivit pwned. Hur om resten av ditt smarta hem? En sårbarhet med Samsungs smarta kylskåp upptäcktes av Storbritannien -baserade infosec-företag Pen Test Parters. Samsungs implementering av SSL-kryptering kontrollerar inte certifikatets giltighet. Läs mer)

Men medan Pinkslipbot övergår till en svår att ta bort skadlig kodvariant, rankas den fortfarande bara # 10 i de vanligaste finansiella malware-typerna. Den övre platsen hålls fortfarande av Client Maximus.

Mitigation är fortfarande nyckeln till att undvika ekonomisk skadlig kod, det vill säga företag, företag eller hemanvändare. Grundläggande utbildning mot phishing Så här markerar du ett phishing-e-post Så här spottar du ett phishing-e-post Det är svårt att fånga ett phishing-e-postmeddelande! Bedrägerier utgör som PayPal eller Amazon, försöker stjäla ditt lösenord och kreditkortsinformation, deras bedrägeri är nästan perfekt. Vi visar dig hur du upptäcker bedrägerierna. Läs mer och andra former av målmedveten skadlig aktivitet Hur bedrägerier använder phishing-e-postmeddelanden för att rikta studenter Hur scammers använder phishing-e-post för att rikta studenter Antalet bedrägerier som riktar sig till studenter stiger och många faller i dessa fällor. Här är vad du behöver veta och vad du ska göra för att undvika dem. Läs mer gå ett massivt sätt att stoppa denna typ av infektion som går in i en organisation - eller ens ditt hem.

Påverkade av Pinkslipbot? Var det hemma eller din organisation? Var du låst ur ditt system? Låt oss veta dina erfarenheter nedan!

Bildkredit: akocharm via Shutterstock

Utforska mer om: Malware, Trojan Horse.