Сленфбот

Slenfbot — это классификация семейства вредоносных программ ( вредоносных программ ), которые заражают файлы в системах Microsoft Windows . Slenfbot был впервые обнаружен в 2007 году, и с тех пор появилось множество его вариантов; каждый из них имеет несколько разные характеристики и новые дополнения к полезной нагрузке червя , такие как возможность предоставить злоумышленнику несанкционированный доступ к скомпрометированному хосту. Slenfbot в основном распространяется, заставляя пользователей переходить по ссылкам на веб-сайты, содержащие вредоносную полезную нагрузку. Slenfbot распространяется через приложения обмена мгновенными сообщениями, съемные диски и/или локальную сеть через общие сетевые ресурсы. Судя по всему, код Slenfbot тщательно контролируется, что может указывать на принадлежность к одной группе и/или указывать на то, что большая часть кода используется несколькими группами. Включение других семейств и вариантов вредоносного ПО, а также его собственная непрерывная эволюция делают Slenfbot высокоэффективным загрузчиком, способным нанести еще больший ущерб скомпрометированным системам.

Псевдонимы

Большинство поставщиков антивирусных программ (A/V) используют следующие соглашения об именах при упоминании этого семейства вредоносных программ (* в конце названий является подстановочным знаком для всех возможных классификаций и/или различий для этого семейства вредоносных программ):

Сленфбот
Стэккт

Общеизвестные усилия

Никто публично не известен.

Профиль вредоносного ПО

Краткое содержание

Slenfbot — это червь, который распространяется с использованием ссылок на веб-сайты, содержащие вредоносное программное обеспечение (вредоносное ПО), через программы обмена мгновенными сообщениями, которые могут включать MSN/Windows Live Messenger, AOL Instant Messenger (AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ и Skype. Червь автоматически распространяется через съемные диски и общие папки или в локальной сети через службу обмена файлами Windows (т. е. сервер или службу LanmanServer). Slenfbot также содержит возможности бэкдора, позволяющие несанкционированный доступ к зараженному компьютеру. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 4 ]}^{[ 5 ]}^{[ 6 ]} Похоже, что код находится под строгим контролем, что может указывать на принадлежность к одной группе и/или на то, что авторы вредоносного ПО совместно используют значительную часть кода. Slenfbot встречается в дикой природе с 2007 года, со временем получил новые функции и возможности, а последующие варианты систематически приобретали схожие, если не одинаковые, наборы функций. Благодаря этому Slenfbot продолжает работать как эффективный заразитель и динамический загрузчик дополнительных вредоносных программ; таким образом, это делает его высокофункциональным механизмом доставки других шпионских программ, похитителей информации, спам-ботов, а также других вредоносных программ. ^{[ 4 ]}

Установка

При запуске Slenfbot копирует дубликат вредоносной полезной нагрузки в папку %SYSTEM% с именем файла, которое варьируется в зависимости от конкретного варианта, и устанавливает для копии атрибуты «только для чтения», «скрытый» и «системный», чтобы скрыть содержимое в проводнике Windows. Затем червь вносит изменения в реестр для обеспечения устойчивости, чтобы вредоносная программа выполняла дубликат копии при каждом последующем запуске системы (например, копируя вредоносный исполняемый файл в подраздел HKLM\Software\Microsoft\Windows\CurrentVersion\Run). Некоторые варианты могут изменять реестр во время установки, чтобы добавить вредоносное ПО в список приложений, которым разрешен доступ к Интернету; таким образом, позволяя вредоносному ПО взаимодействовать без выдачи предупреждений безопасности Windows и беспрепятственно работать со стороны брандмауэра Windows. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 4 ]}^{[ 5 ]}^{[ 6 ]}

В некоторых случаях варианты могут вместо этого изменить реестр для установки вредоносной полезной нагрузки в качестве отладчика для безопасного системного файла ctfmon.exe, чтобы ctfmon.exe запускался при запуске системы, что приводит к выполнению вредоносного ПО. ^{[ 1 ]}

В большинстве случаев Slenfbot попытается удалить оригинальную копию червя. Некоторые варианты могут вносить дополнительные изменения в реестр, чтобы удалить первоначально запущенную копию червя при перезагрузке системы. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 5 ]}^{[ 6 ]}

Некоторые варианты Slenfbot могут при первом запуске проверять, запущен ли в данный момент MSN/Windows Live Messenger, путем поиска окна с именем класса «MSBLWindowClass». Если червь обнаружит окно, вредоносная программа может отобразить ложное сообщение об ошибке. ^{[ 1 ]}

Если Slenfbot запускается со съемного диска, некоторые варианты могут открыть проводник Windows и отобразить содержимое затронутого диска. Некоторые варианты Slenfbot могут внедрить поток в explorer.exe, который периодически проверяет наличие вредоносного ПО в системной папке. Если файл не найден, вредоносная программа загружает новую копию с указанного сервера и запускает новую копию. ^{[ 1 ]}^{[ 4 ]}^{[ 6 ]}

Метод распространения

Мгновенные сообщения

Slenfbot использует обмен мгновенными сообщениями в качестве вектора атаки для распространения червя на другие учетные записи и контакты. Удаленный злоумышленник может использовать бэкдор-возможности червя, чтобы поручить Slenfbot распространяться через MSN/Windows Live Messenger, AOL Instant Messenger (AIM), Yahoo Messenger, Google Chat, Facebook Chat, ICQ и Skype. Червь подключается к удаленному серверу и отправляет копию URL-адреса, который содержит список возможных сообщений для случайной отправки; создает ZIP-архив, содержащий копию вредоносного ПО; а затем отправляет ZIP-архив другим контактам клиента обмена мгновенными сообщениями. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 4 ]}^{[ 5 ]}^{[ 6 ]} Ниже приведены некоторые примеры сообщений, которые может распространять червь:

Ты серьёзно... это правда ты?
ХАХА! это смешно! вот, прочитай эту рубашку парня.
Это действительно твоя фотография?
Ох, посмотри на это!!!
Вот это машина моей мечты! ^{[ 5 ]}

ZIP-файл включает имя исполняемого файла Slenfbot, а также может содержать URL-адрес файла для загрузки в ситуациях, когда злоумышленник дает червю указание отправить произвольный файл(ы). ^{[ 1 ]}^{[ 5 ]}^{[ 6 ]}

Съемные диски

Slenfbot может распространяться на съемные диски, создавая каталог под названием «RECYCLER» в корневом каталоге съемного диска. Затем вредоносная программа создаст подкаталог в папке «RECYCLER» (например, «S-1-6-21-1257894210-1075856346-012573477-2315») и скопирует вредоносную полезную нагрузку в каталог, используя другое имя исполняемого файла ( например, «folderopen.exe»). Slenfbot также может создать файл autorun.inf в корневом каталоге диска, чтобы червь мог запуститься, если диск подключен к другой системе. ^{[ 1 ]}^{[ 6 ]}

Некоторые варианты могут загрузить обновленную копию Slenfbot из места, указанного червем, и записать файл в каталог (например, используя имя «~secure»). Для всех мест, куда червь копирует себя, Slenfbot устанавливает атрибуты «скрытый» и «системный» для соответствующих каталогов и файлов. ^{[ 1 ]}^{[ 5 ]}^{[ 6 ]} В некоторых случаях из-за программной проблемы Slenfbot может создать только один каталог вместо двух (например, «E:\RECYCLERS-1-6-21-1257894210-1075856346-012573477-2315\folderopen.exe»). ^{[ 1 ]}

Общие файлы и принтеры

Slenfbot может распространиться на доступные общие ресурсы при успешном взломе системы. Червь также может распространяться на общие файлы и принтеры, используя известные уязвимости, такие как MS06-040 или MS10-061, которые относятся к проблемам со службами сервера и диспетчера очереди печати соответственно. Злоумышленнику придется дать червю указание распространиться на удаленную систему с помощью эксплойта или обмена мгновенными сообщениями, чтобы продолжить распространение Slenfbot. ^{[ 1 ]}^{[ 5 ]}^{[ 6 ]}^{[ 7 ]}^{[ 8 ]}

Полезная нагрузка

Slenfbot пытается подключиться к серверу Internet Relay Chat (IRC) через определенный TCP-порт (канал IRC и номер порта могут различаться в зависимости от варианта), присоединяется к каналу и затем ожидает команд; злоумышленник может затем использовать бэкдор для выполнения дополнительных действий в скомпрометированной системе, таких как удаление вредоносного ПО, присоединение к другому IRC-каналу, загрузка/выполнение произвольных файлов и/или распространение на другие учетные записи обмена мгновенными сообщениями. ^{[ 1 ]}^{[ 5 ]}^{[ 6 ]}
Slenfbot вносит изменения в файл хостов, заменяя %SYSTEM%\drivers\etc.\hosts собственным файлом; измененный файл хоста может содержать несколько записей, указывающих различные антивирусные домены и домены, связанные с безопасностью, на локальный хост (т. е. 127.0.0.1) или на случайный IP-адрес, которые мешают пользователю посетить список доменов; файл также может содержать множество пустых строк, чтобы создать впечатление, что файл хостов не был изменен ^{[ 1 ]}^{[ 5 ]}
Slenfbot запускает команды для удаления файлов с именами *.zip и *.com в текущем каталоге, а также в каталоге пользователя «Полученные файлы», который является местом по умолчанию, где Windows Messenger хранит загруженные файлы; последнее может заключаться в удалении оригинальной копии червя, полученной через Windows Messenger. ^{[ 1 ]}
Некоторые варианты Slenfbot могут создавать файл (например, «RemoveMexxxx.bat») в каталоге %TEMP%, который представляет собой пакетный файл, который пытается удалить копию после выполнения, чтобы предотвратить обнаружение. ^{[ 5 ]}
Slenfbot удаляет различные ключи реестра, а также любые подразделы и значения, которые они могут содержать, чтобы отключить восстановление системы, диспетчер задач, использование редактора реестра Windows и/или запретить просмотр файлов со скрытыми атрибутами; червь также может отключать антивирус, брандмауэр, а также пытаться отключить предотвращение выполнения данных (DEP), внося другие изменения в систему; некоторые варианты могут периодически перезаписывать изменения, чтобы сохранить их постоянство в системе. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 5 ]}^{[ 6 ]}
Slenfbot может завершать процессы, связанные с безопасностью, а также останавливать, отключать и удалять службы в скомпрометированной системе, чтобы оставаться незамеченным и сохранять постоянство. ^{[ 1 ]}^{[ 6 ]}
Slenfbot может внедрить код в процесс Explorer, чтобы «заблокировать» файл, чтобы предотвратить удаление червя и/или повторно открыть полезную нагрузку после завершения процесса. ^{[ 4 ]}
Slenfbot также может скрывать вредоносный процесс от диспетчера задач. ^{[ 4 ]}^{[ 5 ]}
Варианты Slenfbot могут создавать мьютекс, который различается в зависимости от варианта. ^{[ 1 ]}
Slenfbot может выполнять дополнительные команды после получения данных от другой удаленной системы; команды могут включать дополнительные инструкции для дальнейшего изменения скомпрометированной системы. ^{[ 1 ]}^{[ 6 ]}
Slenfbot может загружать и устанавливать дополнительные вредоносные программы для рассылки спама, кражи информации, установки панелей инструментов шпионского ПО, а также для распространения других вредоносных кампаний; первоначальная полезная нагрузка Slenfbot служит загрузчиком первого этапа с целью загрузки дополнительного вредоносного ПО на скомпрометированный хост. ^{[ 1 ]}^{[ 3 ]}^{[ 4 ]}^{[ 5 ]}^{[ 6 ]}

Профилактика

Следующие шаги могут помочь предотвратить заражение:

Получите последние обновления компьютера для всего установленного программного обеспечения.
Используйте актуальное антивирусное программное обеспечение
Ограничить права пользователя на компьютере
Попросите отправителя подтвердить, что он отправил ссылку, прежде чем нажимать на нее.
Будьте осторожны при переходе по ссылкам на веб-страницы.
Будьте осторожны при открытии вложений и принятии передачи файлов.
Используйте онлайн-сервисы для анализа файлов и URL-адресов (например, Malwr, ^{[ 9 ]} ВирусВсего, ^{[ 10 ]} Анубис, ^{[ 11 ]} закон Вепа, ^{[ 12 ]} и т. д.)
Запускайте программное обеспечение только от издателей, которым вы доверяете
Защитите себя от атак социальной инженерии
Используйте надежные пароли и периодически меняйте пароли. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}^{[ 13 ]}^{[ 14 ]}

Восстановление

Slenfbot использует скрытые меры для поддержания устойчивости системы; таким образом, вам может потребоваться загрузиться в доверенной среде, чтобы удалить ее. Slenfbot также может вносить изменения в ваш компьютер, например, в реестр Windows, что затрудняет загрузку, установку и/или обновление вашей защиты от вирусов. Кроме того, поскольку многие варианты Slenfbot пытаются распространиться на доступные съемные/удаленные диски и общие сетевые ресурсы, важно обеспечить, чтобы процесс восстановления тщательно обнаруживал и удалял вредоносное ПО из всех известных/возможных мест.

Одним из возможных решений было бы использование автономной бета-версии Защитника Windows от Microsoft для обнаружения и удаления Slenfbot из вашей системы. Дополнительные сведения об автономном Защитнике Windows см. по адресу: http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т ^в ^v Центр защиты от вредоносных программ Microsoft (26 августа 2008 г.). «Win32/Сленфбот» . Майкрософт . Проверено 17 июня 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г Центр защиты от вредоносных программ Microsoft (15 февраля 2012 г.). «Червь:Win32/Stekct.A» . Майкрософт . Проверено 17 июня 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Центр защиты от вредоносных программ Microsoft (29 февраля 2012 г.). «Червь:Win32/Stekct.B» . Майкрософт . Проверено 17 июня 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Центр защиты от вредоносных программ Microsoft (17 сентября 2008 г.). «Win32/Slenfbot — еще один IRC-бот?» . Хэмиш О'Ди . Проверено 17 июня 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Мафусаил Себриан Феррер (01 октября 2008 г.). «Win32/Сленфбот» . СА Технологии . Проверено 17 июня 2012 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Энциклопедия угроз ESET (17 января 2011 г.). «Win32/Slenfbot.AD» . ЭСЕТ . Проверено 17 июня 2012 г.
^ Технологический центр безопасности Microsoft (08 августа 2006 г.). «Бюллетень по безопасности Microsoft MS06-040» . Майкрософт . Проверено 17 июня 2012 г.
^ Технологический центр безопасности Microsoft (14 сентября 2010 г.). «Бюллетень по безопасности Microsoft MS10-061» . Майкрософт . Проверено 17 июня 2012 г.
^ «Malwr.com» . Проверено 17 июня 2012 г.
^ «ВирусТотал» . Проверено 17 июня 2012 г.
^ «Анубис» . Архивировано из оригинала 21 июня 2012 г. Проверено 17 июня 2012 г.
^ «Вепавет» . Архивировано из оригинала 17 марта 2009 г. Проверено 17 июня 2012 г.
^ Курт Авиш (22 мая 2012 г.). «Стеккт.Эвл» . Сверкающий рассвет . Проверено 17 июня 2012 г.
^ Маниндер Сингх (22 мая 2012 г.). «Стеккт.Эви» . ХакТик . Проверено 17 июня 2012 г.

[microsoft_win32/slenfbot-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с ^т ^в ^v Центр защиты от вредоносных программ Microsoft (26 августа 2008 г.). «Win32/Сленфбот» . Майкрософт . Проверено 17 июня 2012 г.

[microsoft_worm:win32/stekct.a-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г Центр защиты от вредоносных программ Microsoft (15 февраля 2012 г.). «Червь:Win32/Stekct.A» . Майкрософт . Проверено 17 июня 2012 г.

[microsoft_worm:win32/stekct.b-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Центр защиты от вредоносных программ Microsoft (29 февраля 2012 г.). «Червь:Win32/Stekct.B» . Майкрософт . Проверено 17 июня 2012 г.

[win32/slenfbot-just_another_irc_bot?-4] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Центр защиты от вредоносных программ Microsoft (17 сентября 2008 г.). «Win32/Slenfbot — еще один IRC-бот?» . Хэмиш О'Ди . Проверено 17 июня 2012 г.

[ca_win32/slenfbot-5] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Мафусаил Себриан Феррер (01 октября 2008 г.). «Win32/Сленфбот» . СА Технологии . Проверено 17 июня 2012 г.

[win32/slenfbot.ad-6] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Энциклопедия угроз ESET (17 января 2011 г.). «Win32/Slenfbot.AD» . ЭСЕТ . Проверено 17 июня 2012 г.

[microsoft_ms06-040-7] Технологический центр безопасности Microsoft (08 августа 2006 г.). «Бюллетень по безопасности Microsoft MS06-040» . Майкрософт . Проверено 17 июня 2012 г.

[microsoft_ms10-061-8] Технологический центр безопасности Microsoft (14 сентября 2010 г.). «Бюллетень по безопасности Microsoft MS10-061» . Майкрософт . Проверено 17 июня 2012 г.

[malwr-9] «Malwr.com» . Проверено 17 июня 2012 г.

[virustotal-10] «ВирусТотал» . Проверено 17 июня 2012 г.

[anubis-11] «Анубис» . Архивировано из оригинала 21 июня 2012 г. Проверено 17 июня 2012 г.

[wepawet-12] «Вепавет» . Архивировано из оригинала 17 марта 2009 г. Проверено 17 июня 2012 г.

[sparkingdawn:stekct.evl-13] Курт Авиш (22 мая 2012 г.). «Стеккт.Эвл» . Сверкающий рассвет . Проверено 17 июня 2012 г.

[hacktik:stekct.evi-14] Маниндер Сингх (22 мая 2012 г.). «Стеккт.Эви» . ХакТик . Проверено 17 июня 2012 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]