Pinkslipbot trojanının kalıntılarını silen araç yayınlandı

AmIPinkC2 kalıntıları siliyor

McAfee geçtiğimiz hafta AmIPinkC2 adlı Windows komut satırı uygulaması olarak çalışan, trojanın orijinal çifti temizlenip silinmiş olsa da daha önce trojanın bulaştığı makinede kalan artık dosyaları kullanarak bilgisayarları proxy olarak kullanmaya devam edebilen Pinkslipbot adlı yazılımı bilgisayarınızdan silmenizi sağlayan AmIPinkC2 adlı programı yayınladı.

Aynı zamanda Qakbot, Qbot ve PinkSlip adlarıyla bilinen, ilk olarak 2007 yılında ortaya çıkan, bankacılık işlemlerini hedef alan yazılım, Pinkslipbot olarak biliniyor.

Pinkslipbot tanınmış ve tehlikeli bir tehdittir

Pinkslipbot zararlı yazılım camiasında iyi bilinen bir tehdittir, zira özel alanları hedef alır. Programın yapımcıları sıradan kullanıcılardan çok, özellikle Kuzey Amerika’daki firmaları, kurumsal bankacılık, finans sektörü, hazine hizmetleri gibi spesifik kuruluşları hedef almaktadırlar.

Söz konusu trojan her zaman için aktif halde bulunmamaktadır. Oldukça iyi planlanmış bir dizi kampanyaların bir bölümü olarak gel git halinde çalışmaktadır. Geçtiğimiz yıllarda bir çok siber güvenlik firması bu trojanın saldırılarını tespit etmiş ve farklı versiyonlarını yok etmiştir.

Trojanın kullanıldığı en son saldırı IBM güvenlik araştırmacılarınca tespit edilmişti. Bu saldırıda Pinkslipbot’un versiyonları ‘Active Directory’ işlemlerinin durmasına yol açıyordu.

McAfee Pinkslipbot enfeksiyonlarında yeni açık buldu

Pinkslipbot’un geçmişte tespitini yapan firmalardan biri de McAfee’dir. Trojan’ın C&C server altyapısının analizinin sunumunun yapan araştırmacılar, aynı zamanda geçtiğimiz yıl Virus Bulletin’in güvenlik konferansında trojanın C&C iletişim yöntemleriyle ilgili de bilgi sunmuşlardır.

Araştırmacılar Pinkblot saldırılarının geçmiş ve günümüzdeki halini gözden geçirirken trojan’ın yeni bir işlem moduna denk geldiler.

Araştırmacılar, Pinkslipbot’un yapımcılarının ilk başta zannedildiğinden çok daha zeki olduklarını söylüyorlar. McAfee’ye göre bu bankacılık trojanı kullanıcı bilgisi çalmanın yanı sıra aynı zamanda enfekte olunmuş makineleri bir ağ şeklinde proxy server olarak kullanıyor ve böylece merkezi C&C serverdan diğer enfekte olunan makinelere bilgi gönderiyor.

Yeni McAfee aracı Pinkslipbot’un son kalıntılarını siliyor

McAfee’ye göre bir çok güvenlik aracı bu trojanın sadece ana ikili kodunu siliyor. Böylece trojanın bulaştığı makinelerden şifreleri toplama kabiliyeti felce uğratılmış oluyor.

Yapılan silme işlemleri koda dokunmadığı için proxy serverlar kurularak Windows UPnP servisi üzerinden çalıştırılmaya devam ediliyor.

McAfee’nin yeni aracı kalan dosyaları da silerek Pinslipbot’un kullanıcıların PC’lerini C&C komutlarını göndermek ya da çalınan verilerin proxy ağında saklanmasını sağlamak için kullanmasına engel oluyor.

AmIPinkC2 adlı aracı buradan indirebilirsiniz. McAfee aynı zamanda kullanım talimatlarını içeren bir dosyayı da bu adreste yayınlıyor.

Kullanım şekli

Pinkslipbot

Öncelikle indirdiğiniz dosyayı örneğin C’ye yerleştirin. Bilgisayarınızda başlat bölümünde bulunan arama çubuğuna cmd yazarak komut penceresini açın. cd C:\ yazarak C sürücüsüne geçin. AmIPinkC2.exe yazarak programı çalıştırın. Program aktif olan bağlantıları listeleyecektir. Resimde görüldüğü gibi program zararlı yazılıma dayalı bir bağlantı tespit ederse;

/del

komutunu yazarak, silme işlemini gerçekleştirin.

 

AmIPinkC2 kalıntıları siliyor

McAfee geçtiğimiz hafta AmIPinkC2 adlı Windows komut satırı uygulaması olarak çalışan, trojanın orijinal çifti temizlenip silinmiş olsa da daha önce trojanın bulaştığı makinede kalan artık dosyaları kullanarak bilgisayarları proxy olarak kullanmaya devam edebilen Pinkslipbot adlı yazılımı bilgisayarınızdan silmenizi sağlayan AmIPinkC2 adlı programı yayınladı.

Aynı zamanda Qakbot, Qbot ve PinkSlip adlarıyla bilinen, ilk olarak 2007 yılında ortaya çıkan, bankacılık işlemlerini hedef alan yazılım, Pinkslipbot olarak biliniyor.

Pinkslipbot tanınmış ve tehlikeli bir tehdittir

Pinkslipbot zararlı yazılım camiasında iyi bilinen bir tehdittir, zira özel alanları hedef alır. Programın yapımcıları sıradan kullanıcılardan çok, özellikle Kuzey Amerika’daki firmaları, kurumsal bankacılık, finans sektörü, hazine hizmetleri gibi spesifik kuruluşları hedef almaktadırlar.

Söz konusu trojan her zaman için aktif halde bulunmamaktadır. Oldukça iyi planlanmış bir dizi kampanyaların bir bölümü olarak gel git halinde çalışmaktadır. Geçtiğimiz yıllarda bir çok siber güvenlik firması bu trojanın saldırılarını tespit etmiş ve farklı versiyonlarını yok etmiştir.

Trojanın kullanıldığı en son saldırı IBM güvenlik araştırmacılarınca tespit edilmişti. Bu saldırıda Pinkslipbot’un versiyonları ‘Active Directory’ işlemlerinin durmasına yol açıyordu.

McAfee Pinkslipbot enfeksiyonlarında yeni açık buldu

Pinkslipbot’un geçmişte tespitini yapan firmalardan biri de McAfee’dir. Trojan’ın C&C server altyapısının analizinin sunumunun yapan araştırmacılar, aynı zamanda geçtiğimiz yıl Virus Bulletin’in güvenlik konferansında trojanın C&C iletişim yöntemleriyle ilgili de bilgi sunmuşlardır.

Araştırmacılar Pinkblot saldırılarının geçmiş ve günümüzdeki halini gözden geçirirken trojan’ın yeni bir işlem moduna denk geldiler.

Araştırmacılar, Pinkslipbot’un yapımcılarının ilk başta zannedildiğinden çok daha zeki olduklarını söylüyorlar. McAfee’ye göre bu bankacılık trojanı kullanıcı bilgisi çalmanın yanı sıra aynı zamanda enfekte olunmuş makineleri bir ağ şeklinde proxy server olarak kullanıyor ve böylece merkezi C&C serverdan diğer enfekte olunan makinelere bilgi gönderiyor.

Yeni McAfee aracı Pinkslipbot’un son kalıntılarını siliyor

McAfee’ye göre bir çok güvenlik aracı bu trojanın sadece ana ikili kodunu siliyor. Böylece trojanın bulaştığı makinelerden şifreleri toplama kabiliyeti felce uğratılmış oluyor.

Yapılan silme işlemleri koda dokunmadığı için proxy serverlar kurularak Windows UPnP servisi üzerinden çalıştırılmaya devam ediliyor.

McAfee’nin yeni aracı kalan dosyaları da silerek Pinslipbot’un kullanıcıların PC’lerini C&C komutlarını göndermek ya da çalınan verilerin proxy ağında saklanmasını sağlamak için kullanmasına engel oluyor.

AmIPinkC2 adlı aracı buradan indirebilirsiniz. McAfee aynı zamanda kullanım talimatlarını içeren bir dosyayı da bu adreste yayınlıyor.

Kullanım şekli

Pinkslipbot

Öncelikle indirdiğiniz dosyayı örneğin C’ye yerleştirin. Bilgisayarınızda başlat bölümünde bulunan arama çubuğuna cmd yazarak komut penceresini açın. cd C:\ yazarak C sürücüsüne geçin. AmIPinkC2.exe yazarak programı çalıştırın. Program aktif olan bağlantıları listeleyecektir. Resimde görüldüğü gibi program zararlı yazılıma dayalı bir bağlantı tespit ederse;

/del

komutunu yazarak, silme işlemini gerçekleştirin.

 

More from author

Leave A Reply

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Related posts

Advertismentspot_img

Latest posts

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım Akçalı Boya ve Kimya San. Tic. A.Ş.'nin en önemli markalarından biri olan Permolit Boya, tüketicilerin ihtiyaçlarına uygun geliştirdiği elyaflı...

YouTube reklamlarında CoinHive JavaScript kripto madencilik kodu tespit edildi

YouTube reklamlarında CoinHive JavaScript kripto madencilik kodu tespit edildi Yeni bir rapora göre, bazı ülkelerde yayınlanan bazı YouTube reklamları, hackerlar tarafından, video izleyicilerinin bilgisayarlarının işlem...

Kara Cuma (Black Friday) çılgınlığı nedir?

Kara Cuma (Black Friday) Şükran Günü’nün (Thanksgiving Day) ertesi sabahında gerçekleşen bir alışveriş çılgınlığıdır. Kara Cuma bu yıl 25 Kasım tarihine denk gelmektedir. Ünlü markalar Kara Cuma’da %80’e varan indirimler...
[tdn_block_newsletter_subscribe title_text="Want to stay up to date with the latest news? " description="V2UlMjB3b3VsZCUyMGxvdmUlMjB0byUyMGhlYXIlMjBmcm9tJTIweW91ISUyMFBsZWFzZSUyMGZpbGwlMjBpbiUyMHlvdXIlMjBkZXRhaWxzJTIwYW5kJTIwd2UlMjB3aWxsJTIwc3RheSUyMGluJTIwdG91Y2guJTIwSXQncyUyMHRoYXQlMjBzaW1wbGUh" input_placeholder="Email address" btn_text="Subscribe" tds_newsletter2-image="8" tds_newsletter2-image_bg_color="#c3ecff" tds_newsletter3-input_bar_display="row" tds_newsletter4-image="9" tds_newsletter4-image_bg_color="#fffbcf" tds_newsletter4-btn_bg_color="#f3b700" tds_newsletter4-check_accent="#f3b700" tds_newsletter5-tdicon="tdc-font-fa tdc-font-fa-envelope-o" tds_newsletter5-btn_bg_color="#000000" tds_newsletter5-btn_bg_color_hover="#4db2ec" tds_newsletter5-check_accent="#000000" tds_newsletter6-input_bar_display="row" tds_newsletter6-btn_bg_color="#da1414" tds_newsletter6-check_accent="#da1414" tds_newsletter7-image="10" tds_newsletter7-btn_bg_color="#1c69ad" tds_newsletter7-check_accent="#1c69ad" tds_newsletter7-f_title_font_size="20" tds_newsletter7-f_title_font_line_height="28px" tds_newsletter8-input_bar_display="row" tds_newsletter8-btn_bg_color="#00649e" tds_newsletter8-btn_bg_color_hover="#21709e" tds_newsletter8-check_accent="#00649e" embedded_form_code="JTNDIS0tJTIwQmVnaW4lMjBNYWlsQ2hpbXAlMjBTaWdudXAlMjBGb3JtJTIwLS0lM0UlMEElMEElM0Nmb3JtJTIwYWN0aW9uJTNEJTIyaHR0cHMlM0ElMkYlMkZ0YWdkaXYudXMxNi5saXN0LW1hbmFnZS5jb20lMkZzdWJzY3JpYmUlMkZwb3N0JTNGdSUzRDZlYmQzMWU5NGNjYzVhZGRkYmZhZGFhNTUlMjZhbXAlM0JpZCUzRGVkODQwMzZmNGMlMjIlMjBtZXRob2QlM0QlMjJwb3N0JTIyJTIwaWQlM0QlMjJtYy1lbWJlZGRlZC1zdWJzY3JpYmUtZm9ybSUyMiUyMG5hbWUlM0QlMjJtYy1lbWJlZGRlZC1zdWJzY3JpYmUtZm9ybSUyMiUyMGNsYXNzJTNEJTIydmFsaWRhdGUlMjIlMjB0YXJnZXQlM0QlMjJfYmxhbmslMjIlMjBub3ZhbGlkYXRlJTNFJTNDJTJGZm9ybSUzRSUwQSUwQSUzQyEtLUVuZCUyMG1jX2VtYmVkX3NpZ251cC0tJTNF" tds_newsletter="tds_newsletter1" tds_newsletter1-input_bar_display="" tds_newsletter1-input_border_size="0" tds_newsletter1-title_color="#172842" tds_newsletter1-description_color="#90a0af" tds_newsletter1-disclaimer_color="#90a0af" tds_newsletter1-disclaimer2_color="#90a0af" tds_newsletter1-input_text_color="#90a0af" tds_newsletter1-input_placeholder_color="#bcccd6" tds_newsletter1-input_bg_color="#ffffff" tds_newsletter1-input_border_color="rgba(255,255,255,0)" tds_newsletter1-input_border_color_active="rgba(255,255,255,0)" tds_newsletter1-f_title_font_family="394" tds_newsletter1-f_title_font_size="eyJhbGwiOiI0MiIsImxhbmRzY2FwZSI6IjM2IiwicG9ydHJhaXQiOiIzMCIsInBob25lIjoiMzAifQ==" tds_newsletter1-f_title_font_line_height="1.2" tds_newsletter1-f_title_font_spacing="-1" tds_newsletter1-f_descr_font_family="638" tds_newsletter1-f_descr_font_size="eyJhbGwiOiIxOCIsImxhbmRzY2FwZSI6IjE1IiwicG9ydHJhaXQiOiIxNCIsInBob25lIjoiMTQifQ==" tds_newsletter1-f_descr_font_line_height="1.6" tds_newsletter1-f_descr_font_weight="700" content_align_horizontal="content-horiz-center" tdc_css="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" tds_newsletter1-f_disclaimer_font_family="394" tds_newsletter1-f_disclaimer2_font_family="394" tds_newsletter1-f_input_font_family="394" tds_newsletter1-f_input_font_line_height="3" tds_newsletter1-f_input_font_size="eyJhbGwiOiIxNiIsInBvcnRyYWl0IjoiMTQiLCJwaG9uZSI6IjE0In0=" tds_newsletter1-f_btn_font_family="394" tds_newsletter1-f_btn_font_transform="uppercase" tds_newsletter1-f_btn_font_weight="700" tds_newsletter1-btn_bg_color="#e2687e" tds_newsletter1-btn_bg_color_hover="#172842" tds_newsletter1-f_input_font_weight="" tds_newsletter1-f_title_font_weight="800"]