So überprüfen Sie, ob Sie die Pinkslipbot-Malware verborgen haben
Hin und wieder erscheint eine neue Malware-Variante, die schnell daran erinnert, dass die Sicherheitsbedürfnisse ständig steigen. Der Banking-Trojaner QakBot / Pinkslipbot ist einer von ihnen. Die Malware kann sich nicht mehr mit dem Sammeln von Bankausweisen befassen, sondern kann nun als Steuerungsserver fungieren - lange nachdem ein Sicherheitsprodukt seinen ursprünglichen Zweck beendet hat.
Wie bleibt der OakBot / Pinkslipbot aktiv? Und wie können Sie es vollständig von Ihrem System entfernen??
QakBot / Pinkslipbot
Dieser Bank-Trojaner hat zwei Namen: QakBot und Pinkslipbot. Die Malware selbst ist nicht neu. Es wurde erstmals in den späten 2000er Jahren eingesetzt, verursacht aber nach über einem Jahrzehnt immer noch Probleme. Nun hat der Trojaner ein Update erhalten, das die bösartigen Aktivitäten verlängert, selbst wenn ein Sicherheitsprodukt seinen ursprünglichen Zweck einschränkt.
Die Infektion verwendet Universal Plug-and-Play (UPnP), um Ports zu öffnen und eingehende Verbindungen von jedem im Internet zuzulassen. Pinkslipbot wird dann verwendet, um Bankausweise zu sammeln. Das übliche Spektrum bösartiger Tools: Keylogger, Kennwortdiebstahler, MITM-Browser-Angriffe, digitaler Zertifikatdiebstahl, FTP- und POP3-Berechtigungsnachweise und mehr. Die Malware kontrolliert ein Botnet, das schätzungsweise 500.000 Computer enthält. (Was ist eigentlich ein Botnet? Ist Ihr PC ein Zombie? Und was ist ein Zombie-Computer überhaupt? [MakeUseOf erklärt] Ist Ihr PC ein Zombie? Und was ist eigentlich ein Zombie-Computer? [MakeUseOf erklärt:] Haben Sie sich jemals gefragt, wo alles ist von Internet-Spam kommt? Sie erhalten wahrscheinlich jeden Tag hunderte Spam-gefilterte Junk-E-Mails. Heißt das, es gibt Hunderte und Tausende von Menschen da draußen, die… Lesen Sie weiter)
Die Malware konzentriert sich hauptsächlich auf den US-amerikanischen Bankensektor. 89 Prozent der infizierten Geräte befinden sich entweder in Treasury-, Unternehmens- oder kommerziellen Bankeinrichtungen.
Eine neue Variante
Forscher von McAfee Labs entdeckten die neue Pinkslipbot-Variante.
“Da UPnP davon ausgeht, dass lokale Anwendungen und Geräte vertrauenswürdig sind, bietet es keinen Sicherheitsschutz und kann von allen infizierten Computern im Netzwerk missbraucht werden. Wir haben mehrere Pinkslipbot Control Server-Proxies beobachtet, die auf separaten Computern im selben Heimnetzwerk gehostet werden, sowie einen scheinbar öffentlichen Wi-Fi-Hotspot,” sagt der McAfee Anti-Malware-Forscher Sanchit Karve. “Soweit wir wissen, ist Pinkslipbot die erste Malware, die infizierte Maschinen als HTTPS-basierte Steuerungsserver verwendet, und die zweite ausführbare Malware, die UPnP für die Portweiterleitung nach dem berüchtigten Conficker-Wurm 2008 verwendet.”
Das McAfee-Forschungsteam (und andere) versuchen daher herauszufinden, wie ein infizierter Computer zu einem Proxy wird. Die Forscher glauben, dass drei Faktoren eine bedeutende Rolle spielen:
- Eine IP-Adresse in Nordamerika.
- Eine Hochgeschwindigkeits-Internetverbindung.
- Die Möglichkeit, Ports auf einem Internet-Gateway mit UPnP zu öffnen.
Die Malware lädt zum Beispiel ein Bild mit dem Comcast-Speed-Test-Dienst herunter, um zu überprüfen, ob ausreichend Bandbreite zur Verfügung steht.
Sobald Pinkslipbot einen geeigneten Zielcomputer gefunden hat, gibt die Malware ein Simple Service Discovery Protocol-Paket aus, um nach Internet Gateway Devices (IGD) zu suchen. Die IGD wird wiederum auf Konnektivität geprüft, wobei die Erstellung von Portweiterleitungsregeln zu einem positiven Ergebnis führt.
Sobald der Malware-Autor entschieden hat, ob ein Computer für eine Infektion geeignet ist, wird eine Trojaner-Binärdatei heruntergeladen und implementiert. Dies ist für die Proxy-Kommunikation des Steuerungsservers verantwortlich.
Schwer zu vernichten
Selbst wenn Ihre Antiviren- oder Anti-Malware-Suite QakBot / Pinkslipbot erfolgreich erkannt und entfernt hat, besteht die Möglichkeit, dass sie immer noch als Kontrollserver-Proxy für die Malware dient. Ihr Computer ist möglicherweise immer noch anfällig, ohne dass Sie es merken.
“Die von Pinkslipbot erstellten Regeln für die Portweiterleitung sind zu allgemein, um sie automatisch zu entfernen, ohne versehentliche Netzwerkkonfigurationen zu riskieren. Da die meisten Malware das Port-Forwarding nicht beeinträchtigen, können Anti-Malware-Lösungen solche Änderungen möglicherweise nicht rückgängig machen,” sagt Karve. “Leider bedeutet dies, dass Ihr Computer weiterhin anfällig für Angriffe von außen ist, selbst wenn Ihr Antimalware-Produkt alle Pinkslipbot-Binärdateien erfolgreich von Ihrem System entfernt hat.”
Die Malware-Funktionen verfügen über Wurmfähigkeiten Viren, Spyware, Malware usw. Erklärt: Grundlegendes zu Online-Bedrohungen Viren, Spyware, Malware usw. Erklärt: Grundlegendes zu Online-Bedrohungen Wenn Sie über alle Dinge nachdenken, die beim Surfen im Internet schief gehen könnten, Das Web sieht aus wie ein ziemlich unheimlicher Ort. Lesen Sie mehr, was bedeutet, dass es sich über freigegebene Netzlaufwerke und andere Wechseldatenträger selbst replizieren kann. IBM X-Force-Forschern zufolge hat dies zu Active Directory-Sperren (AD) geführt, wodurch die Mitarbeiter der betroffenen Bankenorganisationen stundenlang offline waren.
Eine kurze Anleitung zum Entfernen
McAfee hat das veröffentlicht Pinkslipbot Control Server-Proxyerkennungs- und Portweiterleitungs-Entfernungsprogramm (oder PCSPDPFRT, kurz ... ich scherze). Das Tool steht hier zum Download bereit. Außerdem ist hier eine Kurzanleitung verfügbar [PDF].
Wenn Sie das Tool heruntergeladen haben, klicken Sie mit der rechten Maustaste auf und Führen Sie als Administrator aus.
Das Tool scannt Ihr System automatisch ein “Erkennungsmodus.” Wenn keine schädlichen Aktivitäten vorhanden sind, wird das Tool automatisch geschlossen, ohne Änderungen an der System- oder Routerkonfiguration vorzunehmen.
Wenn das Tool jedoch ein schädliches Element erkennt, können Sie das einfach verwenden / del Befehl zum Deaktivieren und Entfernen der Portweiterleitungsregeln.
Erkennung vermeiden
Es ist etwas überraschend, einen Bank-Trojaner dieser Raffinesse zu sehen.
Abgesehen von dem bereits erwähnten Conficker-Wurm “Informationen über die schädliche Verwendung von UPnP durch Malware sind rar.” Noch deutlicher ist es ein deutliches Signal, dass IoT-Geräte, die UPnP verwenden, ein großes Ziel (und eine Schwachstelle) sind. Wenn IoT-Geräte allgegenwärtig werden, müssen Sie zugeben, dass Cyberkriminelle eine goldene Chance haben. (Sogar der Kühlschrank ist gefährdet! Samsungs intelligenter Kühlschrank hat gerade Pwned. Wie wäre es mit dem Rest Ihres intelligenten Eigenheims?) Samsungs intelligenten Kühlschrank ist gerade Pwned Pen-Test-Partes mit Sitz in China - Die Implementierung der SSL-Verschlüsselung durch Samsung prüft nicht die Gültigkeit der Zertifikate.
Während Pinkslipbot in eine schwer zu entfernende Malware-Variante übergeht, steht es bei den am weitesten verbreiteten Finanz-Malware-Typen nur auf Platz 10. Der Spitzenplatz wird weiterhin von Client Maximus gehalten.
Schadensbegrenzung ist nach wie vor der Schlüssel zur Vermeidung von finanzieller Malware, sei es Unternehmen, Unternehmen oder Privatanwender. Grundausbildung gegen Phishing Wie man eine Phishing-E-Mail erkennt Wie man eine Phishing-E-Mail erkennt Das Auffinden einer Phishing-E-Mail ist schwierig! Betrüger posieren als PayPal oder Amazon und versuchen, Ihr Passwort und Ihre Kreditkartendaten zu stehlen. Ihre Täuschung ist nahezu perfekt. Wir zeigen Ihnen, wie Sie den Betrug erkennen können. Lesen Sie mehr und andere Formen gezielter bösartiger Aktivitäten. Verwendung von Phishing-E-Mails durch Scammer, um Schüler anzusprechen Verwendung von Phishing-E-Mails durch Scammer, die sich an Studenten richten Die Zahl der Betrügereien, die sich an Schüler richten, nimmt zu und viele fallen in diese Fallen. Hier ist, was Sie wissen müssen und was Sie tun müssen, um sie zu vermeiden. Lesen Sie mehr, um diese Art der Infektion in einem Unternehmen - oder sogar in Ihrem Zuhause - zu verhindern.
Betroffen von Pinkslipbot? War es zu Hause oder in Ihrer Organisation? Wurden Sie aus Ihrem System ausgeschlossen? Teilen Sie uns unten Ihre Erfahrungen mit!
Bildnachweis: akocharm via Shutterstock
Erfahren Sie mehr über: Malware, Trojanisches Pferd.