Slenfbot
Slenfbot es la clasificación para una familia de software malicioso (malware), que infecta archivos en Microsoft Windows sistemas. Slenfbot fue descubierto en 2007 y, desde entonces, han seguido las variantes numerosas; cada uno con características ligeramente diferentes y nuevas incorporaciones a la de gusano capacidad de carga, tales como la capacidad de proporcionar el atacante con acceso no autorizado para el anfitrión comprometido. Slenfbot se propaga principalmente por atraer a los usuarios a seguir enlaces a sitios web que contienen una carga maliciosa. Slenfbot se propaga a través de aplicaciones de mensajería instantánea, las unidades extraíbles o la red local a través de recursos compartidos de red. El código para Slenfbot parece ser controlar de cerca, que puede proporcionar la atribución a un solo grupo o indican que una gran parte del código es compartida entre varios grupos. La inclusión de otras familias de malware y variantes, así como su propia evolución continua, hace Slenfbot un downloader altamente eficaz con una propensión a causar más daño al sistema comprometido.
Contenido
- 1 Alias
- 2 Conocidas públicamente los esfuerzos
- 3 Perfil de malware
- 3.1 Resumen
- 3.2 Instalación
- 3.3 Método de propagación
- 3.3.1 Mensajería instantánea
- 3.3.2 Unidades extraíbles
- 3.3.3 Archivo y acciones impresión
- 3.4 Capacidad de carga
- 4 Prevención
- 5 Recuperación
- 6 Véase también
- 7 Referencias
Alias
La mayoría de Antivirus (A / V) vendedores utilizan las siguientes convenciones de nomenclatura al referirse a esta familia de malware (el * al final de los nombres es un comodín para todas las posibles clasificaciones o reconocimientos por este malware de la familia):
- Slenfbot
- Stekct
Conocidas públicamente los esfuerzos
No se conocen públicamente.
Perfil de malware
Resumen
Slenfbot es un gusano que se propaga mediante enlaces a sitios web que contengan software malicioso (malware) mediante programas de mensajería instantánea, que pueden incluir MSN/Windows Live Messenger, AOL Instant Messenger (AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ y Skype. El gusano se propaga automáticamente mediante acciones y unidades extraíbles, o en la red local a través del archivo de Windows (es decir, servicio de servidor o LanmanServer) servicio de uso compartido. Slenfbot también contiene capabilidades de backdoor que permiten el acceso no autorizado a un equipo afectado.[1][2][3][4][5][6] El código parece estar estrechamente controlados, que puede proporcionar la atribución a un grupo o que los autores de malware comparten una porción significativa del código. Slenfbot ha sido visto en el salvaje desde 2007, obtiene nuevas características y capacidades con el tiempo y las variantes posteriores han ganado sistemáticamente similar si no el mismo, establece la característica. Debido a esto, Slenfbot continúa operando como un infector eficaz y dinámica descargador de malware adicional; Así, por lo que es un mecanismo de entrega altamente funcional para otro spyware, ladrones de información, los bots de spam, así como otro tipo de malware.[4]
Instalación
Cuando se ejecuta, Slenfbot copia un duplicado de la carga útil malicioso en la carpeta % sistema % con un nombre de archivo, que varía según la variante particular y establece los atributos del sistema para ocultar el contenido en el explorador de Windows y copia a leer solamente, ocultos. El gusano hace cambios en el registro de mantener persistencia para que el malware ejecuta una copia duplicada en cada inicio del sistema (por ejemplo copiando el ejecutable malicioso a la subclave de HKLM) posterior. Varias variantes pueden modificar el registro durante la instalación para añadir el malware a la lista de aplicaciones que están autorizados a tener acceso a Internet; por lo tanto, permitiendo que el malware para comunicarse sin levantar las alertas de seguridad de Windows y ejecutar sin trabas por el Firewall de Windows.[1][2][3][4][5][6]
En algunos casos, las variantes en su lugar pueden modificar el registro para instalar el payload malicioso como un depurador para el sistema benigno archivo ctfmon.exe así ctfmon.exe se ejecuta en el arranque del sistema, que conduce a la ejecución del malware.[1]
En la mayoría de los casos, Slenfbot intentará eliminar la copia original del gusano. Algunas variantes pueden hacer modificaciones en el registro con el fin de eliminar la copia del gusano originalmente ejecutada cuando se reinicia el sistema.[1][2][3][5][6]
Algunas variantes de Slenfbot pueden, en ejecución inicial, la prueba para ver si MSN/Windows Live Messenger se está ejecutando actualmente buscando una ventana con el nombre de la clase "MSBLWindowClass". Si el gusano entera de la ventana, el malware puede mostrar un mensaje de error falso.[1]
Si Slenfbot se inicia desde una unidad extraíble, algunas variantes pueden abrir el explorador de Windows y mostrar el contenido de la unidad afectada. Ciertas variantes de Slenfbot pueden inyectar un hilo en explorer.exe, que comprueba periódicamente para detectar la presencia de malware en la carpeta de sistema. Si el archivo no se encuentra, el malware descarga una nueva copia desde un servidor especificado y lanza la nueva copia.[1][4][6]
Método de propagación
Mensajería instantánea
Slenfbot utiliza mensajería instantánea como un vector de ataque para difundir el gusano a otras cuentas y contactos. El atacante remoto puede utilizar capabilidades de backdoor el gusano para instruir a Slenfbot a través de MSN/Windows Live Messenger, AOL Instant Messenger (AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ y Skype. El gusano se conecta a un servidor remoto y envía una copia de una URL que contiene una lista de posibles mensajes a enviar al azar; crea un archivo ZIP, que contiene una copia del malware; y luego envía el ZIP archivo a otro instante mensajes de contactos del cliente.[1][2][3][4][5][6] Los siguientes son algunos ejemplos de los mensajes que puede propagar el gusano:
- ¿Hablas en serio... es realmente usted?
- JAJA! Esto es funnny! Lea que este hombre camisa.
- ¿Esta es una foto de usted?
- OMFG Mira esto!!!
- Este es mi sueño aquí mismo! [5]
El archivo ZIP incluye un nombre de archivo para el ejecutable Slenfbot y también puede incluir una dirección URL de un archivo descargar en situaciones donde el atacante instruye al gusano a enviar archivos arbitrarios.[1][5][6]
Unidades extraíbles
Slenfbot puede extenderse a las unidades extraíbles mediante la creación de un directorio llamado "Reciclador" en el directorio raíz de la unidad extraíble. El malware entonces crear un subdirectorio de la carpeta "RECYCLER" (e.g. "S-1-6-21-1257894210-1075856346-012573477-2315") y copiar la carga maliciosa al directorio con un nombre distinto para el archivo ejecutable (por ejemplo "folderopen.exe"). Slenfbot también puede crear un archivo autorun.inf en el directorio raíz de la unidad para que el gusano puede ejecutar si la unidad está conectada a otro sistema.[1][6]
Ciertas variantes pueden descargar una copia actualizada de Slenfbot desde una ubicación especificada en el gusano y escribir el archivo en un directorio (por ejemplo, con el nombre "~ seguro"). El gusano se autocopia en todas las ubicaciones, Slenfbot establece los atributos ocultos y de sistema en los respectivos directorios y archivos.[1][5][6] En algunas circunstancias debido a un problema de programación, Slenfbot sólo puede crear un directorio en lugar de dos (por ejemplo "E:\RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe").[1]
Slenfbot se puede diseminar a acciones accesibles a partir de transacción exitosa de un sistema. El gusano puede extenderse también al archivo y acciones impresión explotando vulnerabilidades conocidas como MS06-040 o MS10-061, que corresponden a problemas con los servicios de servidor y cola de impresión, respectivamente. El atacante tendría que instruir al gusano a separarse al sistema remoto vía exploit o mensajería instantánea para continuar la propagación del Slenfbot.[1][5][6][7][8]
Capacidad de carga
- Slenfbot intenta conectarse a un servidor de Internet Relay Chat (IRC) mediante un determinado puerto TCP (el número de puerto y canal IRC puede variar según la variante), se une a un canal y luego espera para comandos; el atacante puede entonces usar la puerta trasera para realizar acciones adicionales en el sistema comprometido como eliminar el malware, unirse a otro canal de IRC, descargar/ejecutar archivos arbitrarios o propagar a otra cuentas de mensajería instantánea [1][5][6]
- Slenfbot hace modificaciones en el archivo hosts mediante la sustitución de %SYSTEM%\drivers\etc.\hosts con un archivo propio; el archivo host modificado puede contener varias entradas a punto varios antivirus y seguridad relacionados con los dominios a localhost (es decir, 127.0.0.1) o a una dirección IP al azar, que obstruyen el usuario de una visita a la lista de dominios; el archivo puede contener también numerosas líneas en blanco para dar la apariencia de que no se ha modificado el archivo hosts [1][5]
- Slenfbot ejecuta comandos para borrar archivos llamados *.zip y *.com en el directorio actual, así como el directorio del usuario "Archivos recibidos", que es la ubicación predeterminada donde almacena Windows Messenger descargaron archivos; Éste puede ser eliminar la copia original del gusano, que fue recibido a través de Windows Messenger [1]
- Algunas variantes de Slenfbot pueden crear un archivo (por ejemplo "RemoveMexxxx.bat") en el directorio % TEMP %, que es un archivo por lotes que intenta eliminar la copia después de la ejecución para evitar la detección [5]
- Slenfbot elimina varias claves del registro y cualquier subclaves y valores que pueden contener para desactivar Restaurar sistema, administrador de tareas, el uso del Editor del registro de Windows o impedir la visualización de archivos con atributos ocultos; el gusano puede también desactivar antivirus, cortafuegos así como intentar desactivar prevención de ejecución de datos (DEP) por realizar otras modificaciones en el sistema; algunas variantes pueden reescribir periódicamente los cambios con el fin de mantener la persistencia en el sistema [1][2][3][5][6]
- Slenfbot puede terminar los procesos relacionados con la seguridad, así como detener, desactivar y eliminar servicios en el sistema comprometido para no ser detectados y mantener la persistencia [1][6]
- Slenfbot puede inyectar código en el proceso de Explorer para "bloquear" el fichero con el fin de impedir que se elimine el gusano o para reabrir la carga a la terminación del proceso [4]
- Slenfbot también puede ser capaz de esconder el proceso malicioso del administrador de tareas [4][5]
- Slenfbot variantes pueden crear un mutex que difiere según la variante [1]
- Slenfbot puede ejecutar comandos adicionales después de recibir datos de otro sistema de control remoto; los comandos pueden incluir instrucciones adicionales para luego modificar el sistema comprometido [1][6]
- Slenfbot puede descargar e instalar malware adicional para relé spam, robar información, instalar barras de herramientas de software espía, así como difundir otras campañas malintencionadas; la carga inicial de Slenfbot sirve como un descargador de la primera etapa con el fin de cargar malware adicional en el anfitrión comprometido [1][3][4][5][6]
Prevención
Los siguientes pasos pueden ayudar a prevenir la infección:
- Obtenga las últimas actualizaciones de computadoras para todo su software instalado
- Utilizar software antivirus actualizado
- Limitar los privilegios de usuario en el equipo
- Tener el remitente confirme que enviaron el enlace antes de hacer clic en él
- Tenga cuidado al hacer clic en enlaces a páginas web
- Tenga cuidado al abrir archivos adjuntos y la aceptación de la transferencia de archivos
- Utilizar servicios online para analizar archivos y URL (por ejemplo Malwr,[9] VirusTotal,[10] Anubis,[11] Wepawet,[12] etc.).
- Sólo ejecutar software de editores que confiar
- Protegerse contra los ataques de ingeniería social
- Use contraseñas y cambiar las contraseñas periódicamente [1][2][3][13][14]
Recuperación
Slenfbot utiliza medidas de cautela para mantener la persistencia de un sistema; por lo tanto, necesitará arrancar a un entorno de confianza para sacarlo. Slenfbot también puede hacer cambios a su computadora tales como cambios en el registro de Windows, que lo hace difícil de descargar, instalar o actualizar su protección antivirus. También, puesto que muchas variantes de Slenfbot intentan propagar para unidades extraíbles/remoto disponibles y las acciones de la red, es importante asegurar el proceso de recuperación completamente detecta y elimina el malware de cualquier conocido/posibles ubicaciones.
Una posible solución sería utilizar Microsoft Windows Defender Offline Beta para detectar y eliminar la Slenfbot del sistema. Para obtener más información sobre Windows Defender sin conexión, visite: https://Windows.Microsoft.com/en-US/Windows/What-is-Windows-Defender-offline [1][2][3]
Véase también
- Virus informático
- Botnet
Referencias
- ^ a b c d e f g h i j k l m n o p q r s t u v Microsoft Malware Protection Center (2008-08-26). "Win32/Slenfbot". Microsoft. 17 / 06 / 2012.
- ^ a b c d e f g Microsoft Malware Protection Center (15 / 02 / 2012). "Worm:Win32/Stekct.A". Microsoft. 17 / 06 / 2012.
- ^ a b c d e f g h Microsoft Malware Protection Center (29 / 02 / 2012). "Worm:Win32/Stekct.B". Microsoft. 17 / 06 / 2012.
- ^ a b c d e f g h Microsoft Malware Protection Center (2008-09-17). "Win32/Slenfbot - solo otra IRC bot?". Hamish O'Dea. 17 / 06 / 2012.
- ^ a b c d e f g h i j k l m n Matusalén Cebrian Ferrer (2008-10-01). "Win32/Slenfbot". CA Technologies. 17 / 06 / 2012.
- ^ a b c d e f g h i j k l m n ESET amenaza Encyclopaedia (2011-01-17). "Win32/Slenfbot.AD". ESET. 17 / 06 / 2012.
- ^ Microsoft Security Tech Center (2006-08-08). "Boletín de seguridad de Microsoft MS06-040". Microsoft. 17 / 06 / 2012.
- ^ Microsoft Security Tech Center (2010-09-14). "Microsoft Security Bulletin MS10-061". Microsoft. 17 / 06 / 2012.
- ^ "Malwr.com". 17 / 06 / 2012.
- ^ "VirusTotal". 17 / 06 / 2012.
- ^ "Anubis". 17 / 06 / 2012.
- ^ "Wepawet". 17 / 06 / 2012.
- ^ Kurt Avish (2012-05-22). "Stekct.Evl". Chispas Dawn. 17 / 06 / 2012.
- ^ Maninder Singh (22 / 05 / 2012). "Stekct.Evi". HackTik. 17 / 06 / 2012.
|