如何檢查你是否窩藏了pinkslipbot惡意軟體

QakBot/Pinkslipbot banking特洛伊木馬正在獲取銀行憑證，並且可以在安全產品停止其原始用途後很長時間內逗留並充當控制伺服器。你被感染了嗎？...

時不時會出現一種新的惡意軟件變種，迅速提醒人們安全風險總是在上升。QakBot/Pinkslipbot銀行特洛伊木馬就是其中之一。這種不滿足於獲取銀行憑證的惡意軟件現在可以作為控制服務器——在安全產品停止其最初用途很久之後。

OakBot/Pinkslipbot如何保持活動狀態？你怎麼能把它從你的系統中完全刪除呢？

卡克博特/平克斯裡波特

這個銀行特洛伊木馬有兩個名字：QakBot和Pinkslipbot。惡意軟件本身並不新鮮。它最初是在21世紀末部署的，但10多年後仍在引發問題。現在，特洛伊木馬已經收到一個更新，延長惡意活動，即使一個安全產品削減其原來的目的。

這種感染使用通用即插即用（UPnP）來打開端口，並允許來自互聯網上任何人的傳入連接。然後使用Pinkslipbot獲取銀行憑證。常見的惡意工具：鍵盤記錄程序、密碼竊取程序、MITM瀏覽器攻擊、數字證書盜竊、FTP和POP3憑據等等。這個惡意軟件控制著一個殭屍網絡，估計裡面有超過500000臺電腦。（到底什麼是殭屍網絡？）

惡意軟件主要集中在美國銀行業，89%的受感染設備出現在財政部、公司或商業銀行設施中。

新變種

McAfee實驗室的研究人員發現了新的Pinkslipbot變種。

“由於UPnP假定本地應用程序和設備是可信的，因此它不提供安全保護，並且容易被網絡上任何受感染的機器濫用。McAfee反惡意軟件研究人員Sanchit Karve說：“我們已經觀察到多個Pinkslipbot控制服務器代理託管在同一家庭網絡上的不同計算機上，以及一個公共Wi-Fi熱點。”據我們所知，Pinkslipbot是第一個將受感染機器用作基於HTTPS的控制服務器的惡意軟件，也是繼2008年臭名昭著的Conficker蠕蟲之後第二個使用UPnP進行端口轉發的可執行惡意軟件。”

因此，McAfee研究團隊（和其他人）正試圖準確地確定一臺受感染的機器是如何成為代理的。研究人員認為，有三個因素起著重要作用：

位於北美的IP地址。
高速互聯網連接。
使用UPnP在internet網關上打開端口的能力。

例如，惡意軟件使用Comcast的速度測試服務下載一個圖像，以再次檢查是否有足夠的可用帶寬。

一旦Pinkslipbot找到合適的目標機器，惡意軟件就會發佈一個簡單的服務發現協議包來查找internet網關設備（IGD）。反過來，檢查IGD的連接性，結果是創建了端口轉發規則。

因此，一旦惡意軟件作者決定一臺機器是否適合感染，就會下載並部署一個木馬二進制文件。這負責控制服務器代理通信。

難以抹去

即使您的反病毒或反惡意軟件套件已成功檢測並刪除QakBot/Pinkslipbot，它仍有可能充當惡意軟件的控制服務器代理。你的電腦可能仍然很脆弱，你沒有意識到。

“Pinkslipbot創建的端口轉發規則過於通用，無法自動刪除，而不會冒意外網絡配置錯誤的風險。而且由於大多數惡意軟件不會干擾端口轉發，反惡意軟件解決方案可能不會恢復這些更改，”Karve說不幸的是，這意味著即使您的反惡意軟件產品已成功從系統中刪除了所有Pinkslipbot二進制文件，您的計算機仍可能容易受到外部攻擊。”

該惡意軟件具有蠕蟲功能，這意味著它可以通過共享網絡驅動器和其他可移動媒體進行自我複製。據ibmx-Force研究人員稱，這導致了activedirectory（AD）的關閉，迫使受影響銀行機構的員工一次離線數小時。