Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Kötü niyetli Telegram yükleyicileri aracılığıyla dağıtılan Purple Fox kötü amaçlı yazılımı

Kötü niyetli Telegram yükleyicileri aracılığıyla dağıtılan Purple Fox kötü amaçlı yazılımı

Kötü niyetli bir Telegram for Desktop yükleyicisi, virüslü cihazlara daha fazla kötü amaçlı yük yüklemek için Purple Fox kötü amaçlı yazılımını dağıtır.

Yükleyici, iki dosya, gerçek bir Telegram yükleyici ve kötü amaçlı bir indirici bırakan “Telegram Desktop.exe” adlı derlenmiş bir AutoIt betiğidir.

İndiricinin yanında bırakılan meşru Telegram yükleyicisi yürütülmezken, AutoIT programı indiriciyi (TextInputh.exe) çalıştırır.

Virüslü makinede bırakılan dosyalar
Virüslü makinede bırakılan dosyalar
Kaynak: Minerva Labs

TextInputh.exe yürütüldüğünde, “C:UsersPublicVideos” altında yeni bir klasör (“1640618495”) oluşturacak ve bir 7z yardımcı programı ve bir RAR arşivi (1.rar) indirmek için C2’ye bağlanacaktır.

Arşiv, yükü ve yapılandırma dosyalarını içerirken, 7z programı her şeyi ProgramData klasörüne açar.

tarafından bir analizde detaylandırıldığı gibi Minerva Laboratuvarları, TextInputh.exe, güvenliği ihlal edilmiş makinede aşağıdaki eylemleri gerçekleştirir:

  • 360.tct dosyasını “360.dll” adıyla, rundll3222.exe ve svchost.txt ile ProgramData klasörüne kopyalar
  • “ojbk.exe -a” komut satırı ile ojbk.exe’yi yürütür
  • 1.rar ve 7zz.exe’yi siler ve işlemden çıkar
Mor Tilki enfeksiyon akışı
Mor Tilki enfeksiyon akışı
Kaynak: Minerva Labs

Ardından, kalıcılık için bir kayıt defteri anahtarı oluşturulur, bir DLL (rundll3222.dll) UAC’yi devre dışı bırakır, yük (scvhost.txt) yürütülür ve aşağıdaki beş ek dosya virüslü sisteme bırakılır:

  1. Calldriver.exe
  2. Driver.sys
  3. dll.dll
  4. öldür.bat
  5. speedmem2.hg

Bu ekstra dosyaların amacı, 360 AV işlemlerinin başlatılmasını toplu olarak engellemek ve güvenliği ihlal edilmiş makinede Purple Fox’un algılanmasını önlemektir.

Kötü amaçlı yazılım için bir sonraki adım, temel sistem bilgilerini toplamak, üzerinde herhangi bir güvenlik aracının çalışıp çalışmadığını kontrol etmek ve son olarak tüm bunları sabit kodlanmış bir C2 adresine göndermektir.

Bu keşif işlemi tamamlandıktan sonra Purple Fox, hem 32 hem de 64 bit sistemler için şifrelenmiş kabuk kodunu içeren bir .msi dosyası biçiminde C2’den indirilir.

Purple Fox yürütüldüğünde, yeni kayıt defteri ayarlarının, en önemlisi, devre dışı bırakılmış Kullanıcı Hesabı Denetimi’nin (UAC) etkinleşmesi için virüslü makine yeniden başlatılacaktır.

Bunu başarmak için, dll.dll dosyası aşağıdaki üç kayıt defteri anahtarını 0’a ayarlar:

  1. HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem ConsentPromptBehaviorAdmin
  2. HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA
  3. HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemPromptOnSecureDesktop
Hedef sistemde UAC'yi devre dışı bırakan Dll
Hedef sistemde UAC’yi devre dışı bırakan Dll
Kaynak: Minerva Labs

devre dışı bırakma UAC’yi atlayarak virüsler de dahil olmak üzere virüslü sistemde çalışan herhangi bir programı sağladığı için hayati önem taşır. ve kötü amaçlı yazılım, Yönetici ayrıcalıkları.

Genel olarak, UAC, uygulamaların yetkisiz yüklenmesini veya sistem ayarlarının değiştirilmesini önler, bu nedenle Windows’ta her zaman etkin kalmalıdır.

Devre dışı bırakılması, Purple Fox’un dosya arama ve sızdırma, işlem öldürme, veri silme gibi kötü amaçlı işlevleri gerçekleştirmesine izin verir. kod indirme ve çalıştırma, ve hatta diğer Windows sistemlerine worming.

Şu anda, kötü amaçlı yazılımın nasıl dağıtıldığı bilinmiyor, ancak meşru yazılımı taklit eden benzer kötü amaçlı yazılım kampanyaları YouTube videoları, forum spam’i ve gölgeli yazılım siteleri aracılığıyla dağıtıldı.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.