Slenfbot - Slenfbot

Slenfbot классификация семейства вредоносных программ (вредоносное ПО ), который заражает файлы на Майкрософт Виндоус системы. Slenfbot был впервые обнаружен в 2007 году, и с тех пор появилось множество вариантов; каждый с немного разными характеристиками и новыми дополнениями к черви полезная нагрузка, такая как возможность предоставить злоумышленнику несанкционированный доступ к взломанному хосту. Slenfbot в основном распространяется, заманивая пользователей переходить по ссылкам на веб-сайты, содержащие вредоносные данные. Slenfbot распространяется через приложения для обмена мгновенными сообщениями, съемные диски и / или локальную сеть через общие сетевые ресурсы. Код для Slenfbot, по-видимому, тщательно контролируется, что может указывать на принадлежность к одной группе и / или указывать на то, что большая часть кода совместно используется несколькими группами. Включение других семейств и вариантов вредоносных программ, а также его собственная непрерывная эволюция делают Slenfbot высокоэффективным загрузчиком, способным нанести еще больший ущерб скомпрометированным системам.

Псевдонимы

Большая часть чего-либо Антивирус (A / V) поставщики используют следующие соглашения об именах при обращении к этому семейству вредоносных программ (* в конце имен является подстановочным знаком для всех возможных классификаций и / или различий для этого семейства вредоносных программ):

  • Slenfbot
  • Stekct

Общественно известные усилия

Ничего общего не известно.

Профиль вредоносного ПО

Резюме

Slenfbot - это червь, который распространяется с помощью ссылок на веб-сайты, содержащие вредоносное ПО (вредоносное ПО), через программы обмена мгновенными сообщениями, которые могут включать MSN / Windows Live Messenger, AOL Instant Messenger (AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ и Skype. Червь распространяется автоматически через съемные диски и общие папки или в локальной сети через службу обмена файлами Windows (например, сервер или службу LanmanServer). Slenfbot также содержит возможности бэкдора, позволяющие неавторизованный доступ к уязвимой машине.[1][2][3][4][5][6] Код, по-видимому, находится под строгим контролем, что может указывать на принадлежность к одной группе и / или то, что авторы вредоносного ПО используют значительную часть кода. Slenfbot был замечен в дикой природе с 2007 года, со временем получил новые функции и возможности, а последующие варианты систематически получали аналогичные, если не одинаковые, наборы функций. Из-за этого Slenfbot продолжает работать как эффективный инфектор и динамический загрузчик дополнительных вредоносных программ; таким образом, делая его высокофункциональным механизмом доставки для другого шпионского ПО, кражи информации, спам-ботов, а также другого вредоносного ПО.[4]

Установка

При запуске Slenfbot копирует дубликат вредоносной полезной нагрузки в папку% SYSTEM% с именем файла, которое зависит от конкретного варианта, и устанавливает для копии атрибуты только для чтения, скрытые и системные, чтобы скрыть содержимое в проводнике Windows. Затем червь вносит изменения в реестр для сохранения устойчивости, чтобы вредоносная программа выполняла дублирующую копию при каждом последующем запуске системы (например, копируя вредоносный исполняемый файл в подраздел HKLM Software Microsoft Windows CurrentVersion Run). Некоторые варианты могут изменять реестр во время установки, чтобы добавить вредоносное ПО в список приложений, которым разрешен доступ в Интернет; таким образом, позволяя вредоносной программе взаимодействовать без предупреждения системы безопасности Windows и беспрепятственно работать со стороны брандмауэра Windows.[1][2][3][4][5][6]

В некоторых случаях варианты могут вместо этого изменять реестр, чтобы установить вредоносную полезную нагрузку в качестве отладчика для безопасного системного файла ctfmon.exe, чтобы ctfmon.exe выполнялся при запуске системы, что приводит к запуску вредоносного ПО.[1]

В большинстве случаев Slenfbot попытается удалить исходную копию червя. Некоторые варианты могут вносить дополнительные изменения в реестр, чтобы удалить первоначально запущенную копию червя при перезапуске системы.[1][2][3][5][6]

Некоторые варианты Slenfbot могут при первоначальном запуске проверять, работает ли MSN / Windows Live Messenger в данный момент, путем поиска окна с именем класса «MSBLWindowClass». Если червь находит окно, вредоносная программа может отображать поддельное сообщение об ошибке.[1]

Если Slenfbot запускается со съемного диска, в некоторых вариантах может открываться проводник Windows и отображаться содержимое затронутого диска. Некоторые варианты Slenfbot могут внедрять поток в explorer.exe, который периодически проверяет наличие вредоносного ПО в системной папке. Если файл не найден, вредоносная программа загружает новую копию с указанного сервера и запускает новую копию.[1][4][6]

Способ размножения

Мгновенное сообщение

Slenfbot использует мгновенные сообщения в качестве вектора атаки для распространения червя на другие учетные записи и контакты. Удаленный злоумышленник может использовать бэкдор червя, чтобы дать команду Slenfbot распространяться через MSN / Windows Live Messenger, AOL Instant Messenger (AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ и Skype. Червь подключается к удаленному серверу и отправляет копию URL-адреса, который содержит список возможных сообщений для случайной отправки; создает ZIP-архив, содержащий копию вредоносной программы; а затем отправляет ZIP-архив другим контактам клиента обмена мгновенными сообщениями.[1][2][3][4][5][6] Ниже приведены некоторые примеры сообщений, которые может распространять червь:

  • Вы серьезно ... это действительно вы?
  • ХАХА! это забавно! вот, прочти эту рубашку парня.
  • Это действительно твоя фотография?
  • OMFG посмотри на это !!!
  • Это машина моей мечты прямо здесь! [5]

ZIP-файл включает имя исполняемого файла Slenfbot, а также может содержать URL-адрес файла для загрузки в ситуациях, когда злоумышленник указывает червю отправить произвольный файл (ы).[1][5][6]

Съемные диски

Slenfbot может распространяться на съемные диски, создавая каталог под названием «RECYCLER» в корневом каталоге съемного диска. Затем вредоносная программа создаст подкаталог в папке «RECYCLER» (например, «S-1-6-21-1257894210-1075856346-012573477-2315») и скопирует вредоносные данные в каталог, используя другое имя для исполняемого файла ( например, «folderopen.exe»). Slenfbot может также создать файл autorun.inf в корневом каталоге диска, чтобы червь мог работать, если диск подключен к другой системе.[1][6]

Некоторые варианты могут загрузить обновленную копию Slenfbot из местоположения, указанного в черве, и записать файл в каталог (например, используя имя «~ secure»). Для всех мест, куда копирует себя червь, Slenfbot устанавливает скрытые и системные атрибуты в соответствующих каталогах и файлах.[1][5][6] В некоторых случаях из-за проблем с программированием Slenfbot может создать только один каталог, а не два (например, «E: RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315 folderopen.exe»).[1]

Общие файловые и печатные ресурсы

Slenfbot может распространяться на доступные общие ресурсы после успешного взлома системы. Червь также может распространяться на общие файловые ресурсы и принтеры, эксплуатируя известные уязвимости, такие как MS06-040 или MS10-061, которые связаны с проблемами со службами сервера и диспетчера очереди печати соответственно. Злоумышленник должен будет проинструктировать червя о распространении в удаленную систему с помощью эксплойта или обмена мгновенными сообщениями, чтобы продолжить распространение Slenfbot.[1][5][6][7][8]

Полезная нагрузка

  • Slenfbot пытается подключиться к серверу Internet Relay Chat (IRC) через определенный порт TCP (канал IRC и номер порта могут отличаться в зависимости от варианта), подключается к каналу и затем ожидает команд; злоумышленник может затем использовать бэкдор для выполнения дополнительных действий в скомпрометированной системе, таких как удаление вредоносного ПО, присоединение к другому каналу IRC, загрузка / выполнение произвольных файлов и / или распространение на другие учетные записи обмена мгновенными сообщениями. [1][5][6]
  • Slenfbot вносит изменения в файл hosts, заменяя% SYSTEM% drivers etc hosts собственным файлом; измененный файл хоста может содержать несколько записей, указывающих различные антивирусные домены и домены, связанные с безопасностью, на localhost (например, 127.0.0.1) или на случайный IP-адрес, которые не позволяют пользователю посетить список доменов; файл может также содержать множество пустых строк, чтобы создать впечатление, что файл hosts не был изменен [1][5]
  • Slenfbot запускает команды для удаления файлов с именами * .zip и * .com в текущем каталоге, а также в каталоге «Полученные файлы» пользователя, который по умолчанию является местом, где Windows Messenger хранит загруженные файлы; последнее может заключаться в удалении исходной копии червя, полученной через Windows Messenger. [1]
  • Некоторые варианты Slenfbot могут создавать файл (например, «RemoveMexxxx.bat») в каталоге% TEMP%, который представляет собой пакетный файл, который пытается удалить копию после выполнения, чтобы предотвратить обнаружение. [5]
  • Slenfbot удаляет различные ключи реестра и любые подключи и значения, которые они могут содержать, чтобы отключить восстановление системы, диспетчер задач, использование редактора реестра Windows и / или предотвратить просмотр файлов со скрытыми атрибутами; червь может также отключить антивирус, брандмауэр, а также попытаться отключить предотвращение выполнения данных (DEP) путем внесения других изменений в систему; некоторые варианты могут периодически переписывать изменения, чтобы поддерживать постоянство в системе [1][2][3][5][6]
  • Slenfbot может завершать процессы, связанные с безопасностью, а также останавливать, отключать и удалять службы в скомпрометированной системе, чтобы оставаться незамеченными и поддерживать постоянство. [1][6]
  • Slenfbot может внедрить код в процесс Explorer, чтобы «заблокировать» файл, чтобы предотвратить удаление червя и / или повторно открыть полезную нагрузку после завершения процесса. [4]
  • Slenfbot также может скрывать вредоносный процесс от диспетчера задач. [4][5]
  • Варианты Slenfbot могут создавать мьютекс, который зависит от варианта. [1]
  • Slenfbot может выполнять дополнительные команды после получения данных от другой удаленной системы; команды могут включать дополнительные инструкции для дальнейшего изменения скомпрометированной системы [1][6]
  • Slenfbot может загружать и устанавливать дополнительные вредоносные программы для рассылки спама, кражи информации, установки панелей инструментов шпионского ПО, а также для распространения других вредоносных кампаний; начальная полезная нагрузка Slenfbot служит загрузчиком на первом этапе с целью загрузки дополнительных вредоносных программ на скомпрометированный хост [1][3][4][5][6]

Профилактика

Следующие шаги могут помочь предотвратить заражение:

  • Получите последние компьютерные обновления для всего установленного программного обеспечения
  • Используйте новейшее антивирусное программное обеспечение
  • Ограничить права пользователя на компьютере
  • Попросите отправителя подтвердить, что он отправил ссылку, прежде чем нажимать на нее
  • Будьте осторожны при переходе по ссылкам на веб-страницы
  • Соблюдайте осторожность при открытии вложений и принятии передачи файлов
  • Используйте онлайн-сервисы для анализа файлов и URL-адресов (например, Malwr,[9] VirusTotal,[10] Анубис,[11] Wepawet,[12] так далее.)
  • Запускайте программное обеспечение только тех издателей, которым доверяете
  • Защитите себя от атак социальной инженерии
  • Используйте надежные пароли и периодически меняйте пароли [1][2][3][13][14]

Восстановление

Slenfbot использует скрытые меры для поддержания устойчивости системы; таким образом, вам может потребоваться загрузиться в доверенную среду, чтобы удалить ее. Slenfbot также может вносить изменения в ваш компьютер, например, в реестр Windows, что затрудняет загрузку, установку и / или обновление вашей защиты от вирусов. Кроме того, поскольку многие варианты Slenfbot пытаются распространиться на доступные съемные / удаленные диски и общие сетевые ресурсы, важно обеспечить, чтобы процесс восстановления полностью обнаруживал и удалял вредоносное ПО из всех и всех известных / возможных мест.

Одним из возможных решений может стать использование автономной бета-версии Защитника Windows от Microsoft для обнаружения и удаления Slenfbot из вашей системы. Дополнительные сведения об автономном Защитнике Windows см. По адресу: http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline [1][2][3]

Смотрите также

использованная литература

  1. ^ а б c d е ж г час я j k л м п о п q р s т ты v Центр защиты от вредоносных программ Microsoft (26 августа 2008 г.). "Win32 / Slenfbot". Microsoft. Получено 2012-06-17.
  2. ^ а б c d е ж г Центр защиты от вредоносных программ Microsoft (15 февраля 2012 г.). "Червь: Win32 / Stekct.A". Microsoft. Получено 2012-06-17.
  3. ^ а б c d е ж г час Центр защиты от вредоносных программ Microsoft (29 февраля 2012 г.). "Червь: Win32 / Stekct.B". Microsoft. Получено 2012-06-17.
  4. ^ а б c d е ж г час Центр защиты от вредоносных программ Microsoft (17 сентября 2008 г.). "Win32 / Slenfbot - еще один IRC-бот?". Хэмиш О'Ди. Получено 2012-06-17.
  5. ^ а б c d е ж г час я j k л м п Мафусела Себриан Феррер (01.10.2008). "Win32 / Slenfbot". CA Technologies. Получено 2012-06-17.
  6. ^ а б c d е ж г час я j k л м п Энциклопедия угроз ESET (17 января 2011 г.). "Win32 / Slenfbot.AD". ESET. Получено 2012-06-17.
  7. ^ Технический центр безопасности Microsoft (2008-08-08). «Бюллетень по безопасности Microsoft MS06-040». Microsoft. Получено 2012-06-17.
  8. ^ Технический центр безопасности Microsoft (14 сентября 2010 г.). «Бюллетень по безопасности Microsoft MS10-061». Microsoft. Получено 2012-06-17.
  9. ^ "Malwr.com". Получено 2012-06-17.
  10. ^ «VirusTotal». Получено 2012-06-17.
  11. ^ "Анубис". Получено 2012-06-17.
  12. ^ "Wepawet". Получено 2012-06-17.
  13. ^ Курт Авиш (22 мая 2012 г.). "Стекcт.Эвл". Искрящийся рассвет. Получено 2012-06-17.
  14. ^ Маниндер Сингх (2012-05-22). "Стекcт.Эви". HackTik. Получено 2012-06-17.