Τρόπος κατάργησης του κακόβουλου λογισμικού Saint Bot

Το Saint Bot Malware είναι ένα μικρό κομμάτι κακόβουλου λογισμικού, το οποίο εντοπίστηκε για πρώτη φορά σε μια καμπάνια ανεπιθύμητης αλληλογραφίας μέσω email, η οποία αναφέρθηκε στη δημοτικότητα των στατιστικών COVID-19. Αυτή η καμπάνια πραγματοποιήθηκε κοντά στα τέλη του 2020 και διανέμει ένα κακόβουλο έγγραφο, το οποίο κακοποίησε ένα σενάριο μακροεντολής για την ανάπτυξη και την εκτέλεση του κακόβουλου λογισμικού Saint Bot. Ωστόσο, η πρόσφατη εκστρατεία φαίνεται να είναι ευρύτερα διαδεδομένη και αυτή τη φορά καλύπτει ένα διαφορετικό θέμα. Αυτή τη φορά, οι εγκληματίες πίσω από το κακόβουλο λογισμικό Saint Bot επέλεξαν να πουν στους παραλήπτες ότι τους έχει παραχωρηθεί πρόσβαση σε ένα πορτοφόλι Bitcoin. Σύμφωνα με το ψεύτικο email, ο χρήστης πρέπει να κατεβάσει και να αποσυμπιέσει ένα αρχείο για να αποκτήσει πρόσβαση στο Bitcoin που είναι αποθηκευμένο στο πορτοφόλι. Ωστόσο, το αρχείο περιέχει ένα σκοτεινό σενάριο PowerShell, το οποίο θα δώσει εντολή στα Windows να κατεβάσουν ένα εκτελέσιμο αρχείο από μια απομακρυσμένη τοποθεσία και να το εκκινήσουν. Το αποτέλεσμα αυτής της ενέργειας είναι η δημιουργία ενός κακόβουλου αρχείου «WindowsUpdate.exe» που είναι αποθηκευμένο στο φάκελο% TEMP%.

Τι γίνεται όμως το κακόβουλο λογισμικό του Saint Bot αφού εγκατασταθεί; Αυτή η απειλή εξυπηρετεί το σκοπό της ανάπτυξης επιπλέον κακόβουλου λογισμικού στο παραβιασμένο σύστημα. Είναι πιθανό να χρησιμοποιηθεί ως ωφέλιμο φορτίο πρώτου σταδίου, το οποίο μπορεί να παραμείνει αδρανές και να περιμένει περισσότερες οδηγίες από τον διακομιστή εντολών και ελέγχου. Ανάλογα με τη διαμόρφωση του Saint Bot Malware, ενδέχεται να συγκαλύψει την κακόβουλη διαδικασία με διαφορετικά ονόματα - φαίνεται να χρησιμοποιεί συνήθως την ψευδή διαδικασία «EhStorAurhn.exe».

Η λίστα εντολών που υποστηρίζει το Saint Bot Malware είναι πολύ μικρή, αλλά αρκεί να παρέχει στους χειριστές του τη δυνατότητα εγκατάστασης άλλων επικίνδυνων απειλών. Μπορούν να δώσουν εντολή σε όλες τις ενεργές παρουσίες του Saint Bot Malware να κατεβάσουν και να εκτελέσουν ένα αρχείο από μια προκαθορισμένη διεύθυνση URL, καθώς και να ενημερώσουν το ωφέλιμο φορτίο ή να απεγκαταστήσουν το πρόγραμμα λήψης.

Ενώ το Saint Bot Malware δεν είναι το πιο εξελιγμένο έργο, οι ειδικοί στον κυβερνοασφάλεια αναφέρουν ότι έχει τη δυνατότητα να αποφεύγει συγκεκριμένους τύπους στόχων. Πρώτα απ 'όλα, θα ελέγξει την προεπιλεγμένη διαμόρφωση γλώσσας του μολυσμένου συστήματος. Αν ανήκει στη Ρωσία, την Ουκρανία, τη Λευκορωσία, την Αρμενία, το Καζακστάν, τη Ρουμανία ή τη Μολδαβία, δεν θα προχωρήσει στην επίθεση. Ακριβώς όπως και άλλοι Trojan Downloaders, ελέγχει επίσης τις καταχωρήσεις μητρώου και τα προγράμματα οδήγησης συστήματος για τυχόν συμβολοσειρές που είναι τυπικές για εικονικά περιβάλλοντα. Με αυτόν τον τρόπο, απειλές όπως το Saint Bot Malware προσπαθούν να αποφύγουν ελεγχόμενα περιβάλλοντα που χρησιμοποιούνται για ανάλυση κακόβουλου λογισμικού.

Ανεξάρτητα από το πόσο εξελιγμένο μπορεί να είναι το κακόβουλο λογισμικό του Saint Bot, μπορείτε να είστε σίγουροι ότι η διακοπή του δεν είναι δύσκολη. Το μόνο που χρειάζεται να κάνετε είναι να χρησιμοποιείτε πάντα μια αξιόπιστη σουίτα λογισμικού προστασίας από κακόβουλο λογισμικό.