>> サイバーニュース > ササーボット型トロイの木馬: Torrentをダウンロードしないもう1つの理由
サイバーニュース

Sathurbotトロイの木馬: Torrentをダウンロードしないもう1つの理由

  |  Last Update:  |  0 コメントコメント  

セキュリティ会社のESETは、Sathurbotの反復に関連する新しい攻撃を報告しました, 以上に感染したバックドア型トロイの木馬 20,000 ユーザー. 研究者によると、バックドアは6月からアクティブになっています, 2016, 海賊版映画の違法な急流を使って被害者のシステムに忍び込んできました. それだけではありません, でも, Sathurborは、弱い管理者パスワードを使用したブルートフォースページを介してWordPressサイトも侵害しているため. このようにして、トロイの木馬はより多くのシステムに感染しています, 自分自身をより広める.

関連している: TeslaCryptは現在、侵害されたWordPressページとNuclearEKを介して拡散しています

Sathurbotトロイの木馬配布ネットワーク

研究者によって説明されたように, トレントのダウンロードを目指すユーザー (主に海賊版映画) トロイの木馬の主な犠牲者です:

映画のサブページはすべて同じトレントファイルにつながります; すべてのソフトウェアサブページが別のトレントファイルにつながる間. お気に入りのトレントクライアントでトレントを開始するとき, ファイルは十分にシードされているため、正当に見えることがわかります.

ダウンロードされた映画の急流は、目に見えるコーデックパックインストーラーと説明テキストファイルと一緒にビデオ拡張子を持つファイルになります. トレントにも、明らかなインストーラー実行可能ファイルと小さなテキストファイルがあります. ここでの最終目標は、潜在的な被害者を誘惑して、SathurbotDLLをロードするexeファイルを実行させることです。.

しかし、それだけではありません! “お気に入りの検索エンジンが、通常はファイル共有とは関係のないサイトのトレントへのリンクを返すことがあるかもしれません。. 彼らはかもしれません, でも, WordPressを実行し、単に侵害された,” 研究チームは追加します.

Sathurbotの技術概要

始めるとき, Sathurbotは、DNSへのクエリを使用してコマンドアンドコントロールサーバーを取得します. 応答はDNSTXTレコードとして送信されます, ESETのレポート 明らかに.

その16進文字列値は復号化され、ステータスレポートのコマンドおよび制御ドメイン名として使用されます, タスクの取得と他のマルウェアダウンロードへのリンクの取得.

さらに, Sathurbotバックドアはそれ自体を更新できます, 他の実行可能ファイルをダウンロードして起動できます. ESETはBoaxxeのバリエーションを見てきました, KovterとFleercivet, ただし、より多くのマルウェアインスタンスを使用することもできます.

SathurbotのWebクローラー

トロイの木馬は 5,000 基本的な一般的な単語, ランダムに組み合わされて 2-4 Google経由でクエリ文字列を使用するフレーズの組み合わせ, BingとYandex.

これらの各検索結果URLのWebページから, ランダム 2-4 単語の長いテキストチャンクが選択されています (今回は実際のテキストからのようにもっと意味があるかもしれません) 次の検索クエリに使用されます.

ドメイン名の検索結果の2番目の束が収集されます. 次に、ドメイン名がWordPressによって作成されているかどうかがチェックされます. すなわち, URLの応答がチェックされます: https://[domain_name]/wp-login.php.

関連している: 古いバージョンのWordPressとDrupalを実行しているのは誰か? 法人!

でも, WordPressフレームワークのチェックが実行されるだけではありません. 次の段階で, ドメインのルートインデックスページが取得され、Drupalなどの他のフレームワークの存在が確認されます。, Joomla, PHP-NUKE, phpFox, およびDedeCMS. 収集されたドメインは、コマンドアンドコントロールサーバーにも送信されます. でも, このドメインはバックドアのドメインとは異なります, そしてそれはハードコードされたものです.

「「Sathurbotのボットネット内の異なるボットは、同じサイトに対して異なるログイン資格情報を試します. すべてのボットは、サイトごとに1回のログインのみを試行し、次に進みます. この設計は、ボットがターゲットサイトからIPアドレスをブラックリストに登録せず、将来再訪できるようにするのに役立ちます,」と研究者たちは結論付けています.

不要な侵入を避けるため, システムを常に保護してください.


スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. トレントウイルスの除去 – ウイルスの急流をチェックする方法 トレントWebサイトに定期的にアクセスし、コンテンツをダウンロードしていますか (映画,...
  2. WordPressの乗組員を取り除く(.)ネットリファラースパム WordPress-crew のリファラー スパムは、...
  3. 安全なブログを始める方法: あなたのしなければならないチェックリスト あなたはベテランのブロガーですか、それとも初心者の愛好家ですか? どうにか...
  4. 安全な方法でWordPressブログを作成して開始する方法 新しいブログを始めることは冒険であり、インスピレーションです...
  5. オーストラリアで最も安全なウェブホスティング 2020 *このテーブルのデータは、毎週更新される可能性があります...
  6. で最も安全な英国のウェブホスティング 2018 (スピード, 安全, サポート) *このテーブルのデータは、毎週更新される可能性があります...
  7. Webホスティング英国の比較 *このテーブルのデータは、毎週更新される可能性があります...
  8. あなたが信頼できる最高の英国のウェブホスティングサービス (2017) *このテーブルのデータは、毎週更新される可能性があります...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します