Wirus KBOT potrafi usunąć pliki systemowe bez możliwości ich odzyskania
Użytkownicy komputerów mają powody do niepokoju za sprawą wirusa KBOT. Może on kasować pliki, a także wykradać dane osobowe.
Ponad dziesięć lat temu w internecie pojawił się wirus ILOVEYOU, który był jednym z najpopularniejszych złośliwych kodów. Warto również przypomnieć Slammera, który spowodował awarię bankomatów należących do Bank of America.
Kiedyś "królowały" typowe wirusy i robaki. Dziś mamy do czynienia przede wszystkim z malware, ransomware, które przede wszystkim bez naszej wiedzy zajmują się kopaniem kryptowalut dla autora takiego zagrożenia. Pojawia się oprogramowanie szpiegujące, tworzące ataki DDoS, lub też wymuszające haracz mający na celu odblokowanie naszych plików.
Od czasu do czasu pojawiają się jednak klasyczne wirusy, które sieją zamęt pośród użytkowników komputerów. Jednym z nich jest właśnie KBOT, który "wstrzykuje się" do kodu plików systemu Windows.
Niestety wirus KBOT może spowodować wiele kłopotów, jeśli dostanie się do naszego systemu. Przede wszystkim rozprzestrzenia się przez witryny internetowe, ale także sieci lokalne czy nośniki danych.
Po zainfekowaniu systemu operacyjnego zapisuje się zarówno w folderze Autostart, jak i w harmonogramie zadań, by następnie zainfekować wszystkie pliki z rozszerzeniem .exe, które znajdują się na partycjach logicznych, a także w udostępnionych folderach.
Kiedy wirus przeszukuje nasze dyski i znajdzie pliki .exe, będzie próbował zastąpić funkcję IWbemObjectSink, która to należy do funkcji aplikacji Win32. Następnie skorzysta z API NetServerEnum oraz NetShareEnum, aby pobierać ścieżki do innych zasobów sieciowych.
To wszystko by, rzecz jasna rozprzestrzeniać się dalej. Co gorsza, KBOT korzysta z wielu narzędzi oraz technik, aby ukrywać swoją aktywność. Przede wszystkim mowa o szyfrowaniu RC4, czy skanowaniu bibliotek DLL, które powiązane są z oprogramowaniem antywirusowym. Ma to na celu zawieszenie działania antywirusa oraz dodawanie złośliwego kodu do poprawnych procesów, które są uruchomione.
Złośliwe oprogramowanie, o którym mowa w tym artykule, może również próbować wykraść dane osobowe posiadacza zainfekowanego komputera. Mowa tutaj między innymi o danych uwierzytelniających, które wykorzystywane są do uzyskania dostępu do internetowych usług finansowych, a także bankowych.
KBOT potrafi również podszywać się pod strony internetowe, wykorzystując w tym celu zainfekowane funkcje systemowe oraz przeglądarki, także Chrome'a i Firefoxa. Wirus będzie w tym celu chciał utworzyć link do swojego serwera.
W tym celu wykorzysta plik hosts.ini. Będzie mógł wysłać identyfikator, nazwę komputera, informację na temat systemu operacyjnego, a także listy lokalnych użytkowników oraz dane na temat zainstalowanego oprogramowania antywirusowego.
Autorzy wirusa zaprojektowali go tak, aby po podpięciu się pod plik hosts.ini mógł połączyć się z własnym serwerem dowodzenia i kontroli (command-and-control - C2). Mało tego, połączenie C2 jest szyfrowane, a także obejmuje usuwanie i aktualizację plików, w tym także chodzi o infekcję prowadzącą do tak zwanej autodestrukcji. Wirus KBOT potrafi również pobrać dodatkowe moduły, które zbierają dane użytkowników.