如何检查你是否窝藏了pinkslipbot恶意软件

QakBot/Pinkslipbot banking特洛伊木马正在获取银行凭证，并且可以在安全产品停止其原始用途后很长时间内逗留并充当控制服务器。你被感染了吗？...

时不时会出现一种新的恶意软件变种，迅速提醒人们安全风险总是在上升。QakBot/Pinkslipbot银行特洛伊木马就是其中之一。这种不满足于获取银行凭证的恶意软件现在可以作为控制服务器——在安全产品停止其最初用途很久之后。

pinkslipbot-malware-featured

OakBot/Pinkslipbot如何保持活动状态？你怎么能把它从你的系统中完全删除呢？

卡克博特/平克斯里波特

这个银行特洛伊木马有两个名字：QakBot和Pinkslipbot。恶意软件本身并不新鲜。它最初是在21世纪末部署的，但10多年后仍在引发问题。现在，特洛伊木马已经收到一个更新，延长恶意活动，即使一个安全产品削减其原来的目的。

这种感染使用通用即插即用（UPnP）来打开端口，并允许来自互联网上任何人的传入连接。然后使用Pinkslipbot获取银行凭证。常见的恶意工具：键盘记录程序、密码窃取程序、MITM浏览器攻击、数字证书盗窃、FTP和POP3凭据等等。这个恶意软件控制着一个僵尸网络，估计里面有超过500000台电脑。（到底什么是僵尸网络？）

恶意软件主要集中在美国银行业，89%的受感染设备出现在财政部、公司或商业银行设施中。

banking sectors infection pinkslipbot

新变种

McAfee实验室的研究人员发现了新的Pinkslipbot变种。

“由于UPnP假定本地应用程序和设备是可信的，因此它不提供安全保护，并且容易被网络上任何受感染的机器滥用。McAfee反恶意软件研究人员Sanchit Karve说：“我们已经观察到多个Pinkslipbot控制服务器代理托管在同一家庭网络上的不同计算机上，以及一个公共Wi-Fi热点。”据我们所知，Pinkslipbot是第一个将受感染机器用作基于HTTPS的控制服务器的恶意软件，也是继2008年臭名昭著的Conficker蠕虫之后第二个使用UPnP进行端口转发的可执行恶意软件。”

因此，McAfee研究团队（和其他人）正试图准确地确定一台受感染的机器是如何成为代理的。研究人员认为，有三个因素起着重要作用：

位于北美的IP地址。
高速互联网连接。
使用UPnP在internet网关上打开端口的能力。

例如，恶意软件使用Comcast的速度测试服务下载一个图像，以再次检查是否有足够的可用带宽。

一旦Pinkslipbot找到合适的目标机器，恶意软件就会发布一个简单的服务发现协议包来查找internet网关设备（IGD）。反过来，检查IGD的连接性，结果是创建了端口转发规则。

因此，一旦恶意软件作者决定一台机器是否适合感染，就会下载并部署一个木马二进制文件。这负责控制服务器代理通信。

难以抹去

即使您的反病毒或反恶意软件套件已成功检测并删除QakBot/Pinkslipbot，它仍有可能充当恶意软件的控制服务器代理。你的电脑可能仍然很脆弱，你没有意识到。

“Pinkslipbot创建的端口转发规则过于通用，无法自动删除，而不会冒意外网络配置错误的风险。而且由于大多数恶意软件不会干扰端口转发，反恶意软件解决方案可能不会恢复这些更改，”Karve说不幸的是，这意味着即使您的反恶意软件产品已成功从系统中删除了所有Pinkslipbot二进制文件，您的计算机仍可能容易受到外部攻击。”

该恶意软件具有蠕虫功能，这意味着它可以通过共享网络驱动器和其他可移动媒体进行自我复制。据ibmx-Force研究人员称，这导致了activedirectory（AD）的关闭，迫使受影响银行机构的员工一次离线数小时。