A Saint Bot kártevő eltávolítása

A Saint Bot kártevő egy kisméretű kártevő, amelyet először egy e-mailes spam-kampányban fedeztek fel, amely a COVID-19 statisztikák népszerűségét támasztotta alá. Ez a kampány 2020 vége felé zajlott, és egy rosszindulatú dokumentumot terjesztett, amely makroszkriptet használt vissza a Saint Bot kártevő telepítéséhez és futtatásához. A legutóbbi kampány azonban szélesebb körben elterjedtnek tűnik, és ezúttal más témát ölel fel. Ezúttal a Saint Bot Malware mögött álló bűnözők úgy döntöttek, hogy elmondják a címzetteknek, hogy hozzáférést kaptak egy Bitcoin pénztárcához. A csaló e-mail szerint a felhasználónak le kell töltenie és kibontania egy archívumot, hogy hozzáférjen a pénztárcában tárolt Bitcoin-hoz. Az archívum azonban tartalmaz egy elhomályosított PowerShell-parancsfájlt, amely arra utasítja a Windows-t, hogy futtatható fájlt töltsön le egy távoli helyről, és indítsa el. A művelet eredménye egy rosszindulatú „WindowsUpdate.exe” fájl létrehozása a% TEMP% mappában.

De mit jelent a Saint Bot kártevő telepítése után? Ez a fenyegetés azt a célt szolgálja, hogy további rosszindulatú programokat telepítsen a megsértett rendszerbe. Valószínűleg első fokozatú hasznos terhelésként használják, amely szunnyadhat és várhat, amíg további utasítások érkeznek a parancs-vezérlő kiszolgálótól. A Saint Bot Malware konfigurációjától függően a rosszindulatú folyamatot különböző nevek alatt rejtheti el - úgy tűnik, hogy az „EhStorAurhn.exe” hamis folyamatot használja.

A Saint Bot kártevő által támogatott parancsok listája nagyon kicsi, de elegendő ahhoz, hogy üzemeltetői számára lehetővé tegyék más veszélyes fenyegetések telepítését. Megparancsolhatják a Saint Bot Malware összes aktív példányának, hogy töltsenek le és hajtsanak végre egy fájlt egy előre meghatározott URL-ről, valamint frissítsék a hasznos terhet vagy távolítsák el a letöltőt.

Míg a Saint Bot malware nem a legfejlettebb projekt, a kiberbiztonsági szakértők megemlítik, hogy képes elkerülni bizonyos típusú célpontokat. Először ellenőrizni fogja a fertőzött rendszer alapértelmezett nyelvi konfigurációját. Ha Oroszországhoz, Ukrajnához, Fehéroroszországhoz, Örményországhoz, Kazahsztánhoz, Romániához vagy Moldovához tartozik, akkor nem folytatja a támadást. Csakúgy, mint a többi trójai letöltő, ez is ellenőrzi a rendszerleíró adatbázis bejegyzéseket és a rendszerillesztőket a virtuális környezetekre jellemző karakterláncok után. Így az olyan fenyegetések, mint a Saint Bot Malware, megpróbálják elkerülni a rosszindulatú programok elemzéséhez használt ellenőrzött környezeteket.

Függetlenül attól, hogy a Saint Bot kártevő milyen kifinomult lehet, megnyugodhat, hogy annak leállítása nem nehéz. Mindössze annyit kell tennie, hogy mindig egy jó hírű kártevőirtó szoftvercsomagot használjon.