Bayrob Trojan Nieuwste versie Clones Itself, Lanceert meerdere processen
BEDREIGING VERWIJDEREN

Bayrob Trojan Nieuwste versie Clones Itself, Lanceert meerdere processen

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

Trojaanse paardEen nogal sterke golf van oude malware wordt resurfacing het web. In dit artikel zullen we analyseren de Bayrob Trojan (Win32 / Bayrob, Trojan.Bayrob!Gen8, Trojan.Bayrob) die niet actief is geweest gedurende ten minste 9 jaar. De dreiging is bijgewerkt en ingesteld op de losse. Bayrob's kwaadaardige code is nu nauwkeuriger en is up-to-date met de recente malware.

bedreiging Samenvatting

NaamBayrob Trojan
TypeTrojaans, Infostealer, Achter Deur
Korte OmschrijvingHet Trojaanse paard is niet actief voor meer dan 9 jaar, maar is net betrapt actief door de beveiliging onderzoekers.
Symptomen Een foutmelding wordt weergegeven “Deze applicatie is niet compatibel met de nieuwste versie van Windows u gebruikt…”.
Distributie MethodeSpam e-mailbijlagen.
Detection Tool Zien of je systeem is getroffen door Bayrob Trojan

Download

Malware Removal Tool

GebruikerservaringWord lid van onze Forum om te bespreken Bayrob Trojan.

Een kijkje in de nieuwste Infecties Bayrob's

Bayrob december 2015

Bayrob is niet actief sinds 2007, althans niet in agressief en breed gespreide campagnes. Echter, de dreiging weer de kop afgelopen winter, in december, wanneer het opnieuw werd gespot door de beveiliging onderzoekers. Bayrob verspreidde zich via kwaadaardige bijlagen in e-mails proberen te imiteren Amazon.

Bayrob classificeert als een infostealer en een backdoor type Trojan. Tijdens de aanvallen van december, de Trojaanse werd ingesteld om te stelen en te sturen naar een command and control-server van de volgende gegevens uit de machine van een slachtoffer:

  • OS-versie
  • Computer naam
  • PC's IP-adres
  • Informatie over het besturingssysteem en systeeminstellingen
  • Mac adres
  • Lijst van actieve services

Bayrob werd weer actief gespot over 2 weken geleden. Blijkbaar, de Trojaanse heeft nieuwe versies en de code is aangepast om reverse engineering en detectie te vermijden.

Bayrob Version 2016

Wat niet is veranderd in Bayrob de code? In zowel zijn verleden en de huidige aanvallen, de Trojan is ontworpen om het opzetten van een proxy-server om gevoelige informatie van het slachtoffer machines te stelen. Wat is nieuw in Bayrob is de verbeterde mogelijkheid om ontdekking te voorkomen en te klonen zich aan meerdere processen te lanceren. Elk van de processen (diensten) heeft zijn eigen kwaadaardige taak te hanteren.

Fortinet onderzoekers hebben ontdekt dat de oorspronkelijke steekproef Bayrob's:

druppels een kopie van zichzelf, loopt het eerste exemplaar, en uitgangen. De naam van het eerste exemplaar is een vaste prefix (“ULMS” in het monster we geanalyseerd), toegevoegd met een willekeurig gegenereerde tekenreeks. Het oorspronkelijke proces geeft ook een nep-foutmelding naar de werkelijke kwaadaardig gedrag te verbergen. Onder [zie foto] laat zien hoe het deze en de eigenlijke boodschap bereikt. Het eerste exemplaar daalt dan een kopie van zichzelf. Het creëert ook en begint een dienst, zoals hieronder getoond. De service wordt uitgevoerd belangrijke taken, zoals het C&C communicatie.

bayrob-error-message-Fortinet-stforum

Bayrob is ook in staat om te differentiëren zijn het lopen stage in de meerdere processen / diensten op de bestandsnamen. Het Trojaanse paard daalt ook identificatiemiddelen zijn levenscyclus stadium te herkennen.

De nieuwste versies zijn ook ingesteld op code obfuscation voeren, gebruik maken van dode code en encryptie toe te passen. Bayrob is nu in staat om gegevens tijdens het oogsten en exfiltrating gegevens te versleutelen van de computer van het slachtoffer. De encryptie wordt meestal in de weg van de analyse security onderzoekers en anti-malware-detectie software.

Leer meer over code Obfuscation

communicatie Bayrob met zijn opdracht & control server worden ook gecodeerd, en het maakt ook gebruik van een aangepaste protocol via TCP / IP.

Eindelijk, Hier is een lijst van Bayrob's detectie namen, via VirusTotal:

  • Trojan.Bayrob.1 [Dr.Web]
  • een variant van Win32 / Bayrob.AA [ESET NOD32-]
  • W32 / Bayrob.T!tr [Fortinet]
  • Trojan.Win32.Bayrob [Ikarus]
  • Achterdeur:Win32 / Nivdort.AF [Microsoft]
  • Mal / Bayrob-B [Sophos]
  • TROJ_BAYROB.SM0 [TrendMicro HouseCall-]
  • Er:Variant.Diley.1 [Bitdefender]
  • Win32 / Cryptor [AVG]

Verwijder Bayrob Trojan en bescherm uw systeem

Net als bij andere Trojaanse paarden, de meest veilige manier om een ​​infectie te voorkomen is via een actieve anti-malware bescherming op het systeem. Als je zijn getroffen, Zie de onderstaande stappen voor verwijderen om te proberen en volledig te verwijderen van de Trojan, automatisch of handmatig.

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen!

Meer berichten

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...