Skip to main content

Pykspa хортой программ

Pykspa нэрт worm төрлийн хортой программ нь 2019 оноос эхлэн үйл ажиллагаагаа явуулж эхэлсэн бөгөөд тархах аргачлал нь хэрэглэгчийн компьютер дээр суусны дараа тухайн хэрэглэгчийн Skype messenger-ийн contact дэх хэрэглэгчид рүү Pykspa программыг татах линк бүхий мессежийг илгээдэг бөгөөд тухайн линк дээр дарсан тохиолдолд халдвар авч цааш тархах байдлаар үргэлжилдэг.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж Pykspa.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Pykspa.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Pykspa хортой кодыг хайна.

 Жишээ нь: 

  • C дискээс Pykspa хортой программыг хайх команд: "yara64.exe -r Pykspa.yara C:\ 2>NUL"
  • D дискээс Pykspa хортой программыг хайх команд: "yara64.exe -r Pykspa.yara D:\ 2>NUL"

rule win_pykspa_auto {

meta:

author = "Felix Bilstein - yara-signator at cocacoding dot com"

date = "2023-12-06"

version = "1"

description = "Detects win.pykspa."

info = "autogenerated rule brought to you by yara-signator"

tool = "yara-signator v0.6.0"

signator_config = "callsandjumps;datarefs;binvalue"

malpedia_reference                                                                  =

https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa

malpedia_rule_date = "20231130"

malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"

malpedia_version = "20230808"

malpedia_license = "CC BY-SA 4.0"

malpedia_sharing = "TLP:WHITE"

 

/* DISCLAIMER

* The strings used in this rule have been automatically selected from the

* disassembly of memory dumps and unpacked files, using YARA-Signator.

* The code and documentation is published here:

* https://github.com/fxb-cocacoding/yara-signator

* As Malpedia is used as data source, please note that for a given

* number of families, only single samples are documented.

* This likely impacts the degree of generalization these rules will offer.

* Take the described generation method also into consideration when you

* apply the rules in your use cases and assign them confidence levels.

*/

strings:

               $sequence_0 = { 8b5c240c 57 8b7c240c 3bfb 7513 57 8b7c2418 }

// n = 7, score = 100

// 8b5c240c       | mov                   ebx, dword ptr [esp + 0xc]

// 57                     | push                 edi

// 8b7c240c       | mov                   edi, dword ptr [esp + 0xc]

// 8b7c240c      | mov                    edi, dword ptr [esp + 0xc]

// 3bfb                 | cmp                  edi, ebx

// 7513                | jne                     0x15

// 57                     | push                 edi

// 8b7c2418      | mov                   edi, dword ptr [esp + 0x18]

               $sequence_1 = { 6a00 c6400e01 ff15???????? cc 55 8bec b89c110000 }

// n = 7, score = 100

// 6a00                | push                  0

// c6400e01       | mov                   byte ptr [eax + 0xe], 1

// ff15???????? |

// cc                      | int3

// 55                     | push                 ebp

// 8bec                 | mov                   ebp, esp

// b89c110000 | mov                    eax, 0x119c

               $sequence_2 = { c3 a1???????? 85c0 7501 c3 8b4818 85c9 }

                              // n = 7, score = 100

// c3                     | ret

// a1????????   |

// 85c0                | test                    eax, eax

// 7501                | jne                     3

// c3                     | ret

// 8b4818           | mov                    ecx, dword ptr [eax + 0x18]

// 85c9                | test                    ecx, ecx

 

               $sequence_3 = { 381d???????? 8b2d???????? 744f 8d442418 68???????? 50 e8???????? }

 // n = 7, score = 100

 // 381d????????            |

 // 8b2d????????            |

 // 744f                               | je                        0x51

 // 8d442418                    | lea                      eax, [esp + 0x18]

 // 68????????                 |

 // 50                                   | push                  eax

 // e8????????

               $sequence_4 = { c60000 807d0000 0f843b010000 57 ff742414 e8???????? 50 }

 // n = 7, score = 100

 // c60000                         | mov                   byte ptr [eax], 0

 // 807d0000                    | cmp                  byte ptr [ebp], 0

 // 0f843b010000           | je                        0x141

 // 57 | push edi

 // ff742414                       | push                  dword ptr [esp + 0x14]

 // e8????????                 |

 // 50                                   | push                  eax

 $sequence_5 = { 0f95c0 5e c3 55 8bec 83ec54 53 }

// n = 7, score = 100

 // 0f95c0                           | setne                 al

 // 5e                                   | pop                   esi

 // c3                                   | ret

 // 55                                   | push                  ebp

 // 8bec                               | mov                   ebp, esp

 // 83ec54                          | sub                    esp, 0x54

 // 53                                   | push                 ebx

 $sequence_6 = { ff15???????? 8b35???????? 53 ffd6 8b3d???????? 53 ffd7 }

 // n = 7, score = 100

 // ff15????????              |

 // 8b35????????            |

 // 53                                   | push                  ebx

 // ffd6                                | call                     esi

 // 8b3d????????            |

 // 53                                   | push                 ebx

 // ffd7                                | call                    edi

 $sequence_7 = { 381d???????? 7508 381d???????? 743e 56 ff15???????? 83f805 }

 // n = 7, score = 100

 // 381d????????            |

 // 7508                              | jne                     0xa

 // 381d????????            |

 // 743e                              | je                        0x40

 // 56                                   | push                 esi

 // ff15????????              |

 // 83f805                          | cmp                  eax, 5

$sequence_8 = { 8d85acfeffff 68???????? 50 e8???????? 85c0 59 59 }

 // n = 7, score = 100

 // 8d85acfeffff                | lea                     eax, [ebp - 0x154]

 // 68????????                 |

 // 50                                   | push                  eax

 // e8????????                 |

 // 85c0                              | test                    eax, eax

 // 59                                   | pop                   ecx

 // 59                                   | pop                    ecx

 $sequence_9 = { 6a05 8bca 33d2 f7f3 8bc7 bb40e20100 03ca }

 // n = 7, score = 100

 // 6a05                              | push                  5

 // 8bca                              | mov                    ecx, edx

 // 33d2                              | xor                      edx, edx

 // f7f3                                 | div                      ebx

 // 8bc7                              | mov                    eax, edi

 // bb40e20100               | mov                    ebx, 0x1e240

 // 03ca                              | add                    ecx, edx

condition:

 7 of them and filesize < 835584

 

}

  • Дээрх YARA дүрмийг ашиглан Pykspa төрлийн хортой кодыг илрүүлэх.
  • Pykspa төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
  • Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.
The Cyber Security Council receives information about information security incidents, phishing attempts, malware and vulnerabilities.

Report Cyber issue