Удаление QakBot/Pinkslipbot — обнаружение и защита

Что такое QakBot / Pinkslipbot

QakBot, также известный как Pinkslipbot, — банковский троян, обнаруженный в конце 2000-х годов и всё ещё активный. Первоначально он собирал данные для входа в банковские аккаунты, но новые варианты умеют дольше поддерживать вредоносную активность и превращать заражённые машины в HTTPS-прокси для командных серверов.

Ключевые характеристики:

• Сбор банковских учётных данных, логов браузера и паролей.
• Кейлоггеры, похищение сертификатов, атаки MitM в браузере, кража FTP/POP3 и других учётных данных.
• Способность использовать UPnP на интернет-шлюзах для автоматического проброса портов.
• Самораспространение (worm-поведение) через совместные сетевые папки и съёмные носители.
• Управление ботнетом, оценённым исследователями в более чем 500 000 компьютеров.
• Сильная фокусировка на банковской инфраструктуре США: 89% обнаруженных инцидентов в учреждениях казначейства, корпоративных и коммерческих банках.

Почему новая версия опаснее

Исследователи McAfee Labs отметили, что Pinkslipbot научился использовать свойства UPnP: многие домашние и офисные шлюзы автоматически доверяют локальным устройствам, что позволяет вредоносному ПО на компьютере клиента создавать правила проброса портов и принимать соединения извне.

Ключевой механизм заражения прокси-машин:

1. Выбор целевой машины по географическому IP (в практике — в Северной Америке).
2. Проверка наличия быстрого интернет-канала (например, загрузка изображения через сервис Speed Test провайдера).
3. Проверка шлюза на поддержку UPnP с помощью SSDP (Simple Service Discovery Protocol) и создание правил проброса портов при положительном ответе.

После проверки и определения пригодности машина скачивает троянский бинарник, который разворачивает прокси-сервер для управления ботнетом.

Важно: UPnP не имеет встроенных механизмов аутентификации и изначально предполагает доверие к локальным устройствам. Это облегчает злоупотребление со стороны вредоносных программ.

Цитата исследователя

Исследователь McAfee: «Поскольку UPnP предполагает, что локальные приложения и устройства заслуживают доверия, он не обеспечивает защиту и подвержен злоупотреблениям со стороны заражённой машины в сети. На нашей практике мы видели прокси-серверы Pinkslipbot на отдельных компьютерах в одной домашней сети и даже в публичной Wi‑Fi точке доступа. Насколько нам известно, Pinkslipbot стал первым вредоносным ПО, использующим заражённые машины как HTTPS‑прокси, и вторым исполнительным вредоносом, применившим UPnP для проброса портов после Conficker в 2008 году.»

Почему полностью удалить сложно

Даже если антивирус обнаружил и удалил исполняемые модули Pinkslipbot, правила проброса портов остаются в настройках маршрутизатора и не всегда откатываются автоматически. Такие правила слишком «общие», и антивирусные средства боятся изменять сетевые настройки роутера, чтобы не навредить пользователю.

Последствия:

• Заражённый ПК может продолжать принимать входящие соединения через проброшенные порты.
• В сети могут появиться новые реплики вредоносного ПО через общие ресурсы и съёмные носители.
• В корпоративной сети троян уже вызывал блокировки учётных записей в Active Directory и длительные простои.

Короткое руководство по удалению (пошагово)

Ниже — расширенная последовательность действий для домашних пользователей и администраторов. Начните с резервного копирования важных данных (не исполняемых файлов конфигурации) и действуйте аккуратно.

1) Используйте официальную утилиту обнаружения и удаления

McAfee выпустила утилиту «Pinkslipbot Control Server Proxy Detection and Port-Forwarding Removal Tool». Она автоматически сканирует систему в режиме обнаружения и не меняет конфигурацию, если угроз не найдено. Если утилита обнаружит прокси и правила проброса, можно удалить их с помощью команды удаления.

• Запустите скачанный инструмент правой кнопкой и выберите Запустить от имени администратора.
• Если обнаружены правила проброса, используйте команду:

/toolname /del

(вместо /toolname — имя исполняемого файла; инструмент обычно подсказывает точную команду).

Примечание: исходный инструмент требует административных привилегий для доступа к системным настройкам и сетевым интерфейсам.

2) Проверка и очистка настроек маршрутизатора

1. Войдите в веб‑интерфейс вашего маршрутизатора (обычно 192.168.0.1 или 192.168.1.1). Если вы не уверены — проверьте документацию устройства.
2. Откройте раздел UPnP и правила проброса портов (Port Forwarding / Virtual Server).
3. Отключите UPnP, если он не нужен: это самый простой способ устранить автоматическое создание правил.
4. Удалите подозрительные правила проброса, особенно те, которые указывают на локальные IP-адреса ПК, не предназначенные для публичного доступа.
5. При сомнениях сделайте заводской сброс маршрутизатора и заново настройте его с безопасными паролями и актуальным ПО (firmware).

Важно: перед заводским сбросом запишите текущие настройки, если вы используете статические маршруты или специфические NAT-правила.

3) Локальная очистка Windows

• Проверка автозагрузки: с помощью диспетчера задач (Вкладка «Автозагрузка») и команды msconfig/Autoruns (Sysinternals).
• Проверка запущенных служб и процессов: Task Manager, Process Explorer.
• Поиск подозрительных задач в «Планировщике заданий» (Task Scheduler).
• Проверка сетевых подключений: netstat -ano для выявления слушающих портов и соответствующих PID.

Примеры команд для проверки (в командной строке с правами администратора):

netstat -ano | findstr LISTENING
tasklist /svc

Удаляйте только те процессы и службы, которые вы достоверно идентифицировали как вредоносные. При сомнениях — изолируйте машину от сети и обратитесь к специалистам.

4) Полное восстановление безопасного состояния

• Проведите сканирование надёжными антивирусными/анти‑мальварными продуктами.
• Смените все пароли, особенно банковские и корпоративные, с чистых устройств.
• Проверьте использование сертификатов и при необходимости отозовите/переустановите их.
• В корпоративной сети рассмотрите восстановление систем из резервных копий и ротацию ключей.

5) Если вы администратор AD

• Проверьте логи контроллеров домена на подозрительную активность.
• Очистите или перекачайте с учётом заражённых машин политики, которые могли быть изменены.
• При массовых блокировках учётных записей следуйте процедурам восстановления доступа и инвентаризации скомпрометированных хостов.

Инцидентный план (короткий)

1. Изолируйте заражённые машины из сети (включая Wi‑Fi).
2. Снимите образ диска для последующего форензика.
3. Отключите UPnP или заблокируйте SSDP/UPnP‑трафик на граничных устройствах.
4. Выполните поиск и удаление прокси‑правил в маршрутизаторе и при необходимости переустановите прошивку.
5. Проведите смену учётных данных и уведомите заинтересованные стороны.
6. Подготовьте отчёт и уроки для предотвращения повторения.

Чек-листы по ролям

Домашний пользователь

• Отключить UPnP на домашнем маршрутизаторе.
• Обновить логин/пароль маршрутизатора и прошивку.
• Запустить антивирусный скан и официальную утилиту обнаружения.
• Проверить пробросы портов и удалить неизвестные правила.
• Сменить пароли банковских аккаунтов с чистого устройства.

Системный администратор / SOC

• Изолировать подозрительные хосты и собрать лог‑данные.
• Проверить активные правила NAT/port‑forward и отключить UPnP глобально, где возможно.
• Провести инвентаризацию уязвимых IoT‑устройств.
• Запустить процедуры полного удаления и восстановления из проверенных бэкапов.
• Подготовить уведомления для клиентов и регуляторов, если требуется.

Когда автоматические инструменты не помогут (контрпримеры)

• Если вредонос сохраняет доступ через несколько роутеров/шлюзов в цепочке, простое удаление правил на одном маршрутизаторе не закроет прослойку.
• Если атакующий успел переместить C2‑канал на внешний VPS или другие хосты, локальная очистка не избавит от угрозы полностью.
• Если администратор боится аварийно изменить важные NAT‑правила, автоматические удаления могут быть отложены; тогда нужна ручная проверка и согласование изменений.

Факты и контрольные числа

• Оценочный размер ботнета: более 500 000 машин.
• 89% зафиксированных инфицирований локализованы в банковском секторе (казначейство, корпоративный и коммерческий банкинг).
• Pinkslipbot входит в топ‑10 наиболее распространённых финансовых троянов (на момент исследования занимал 10‑е место).

Набор быстрой диагностики (cheat sheet)

• UPnP включён на роутере? (Да/Нет)
• Есть ли неизвестные правила проброса портов? (Да/Нет)
• Есть ли слушающие процессы на необычных портах? (netstat)
• Антивирус на машине чист? (сканирование)
• Нужна ли переустановка маршрутизатора/прошивки? (Да/Нет)

Мини‑методика тестирования

1. На чистой машине выполните netstat -ano и зафиксируйте список слушающих портов.
2. На подозрительной машине выполните тот же набор команд и сравните списки.
3. Проверяйте UPnP‑правила в веб‑интерфейсе роутера: совпадают ли адреса и порты.
4. Если найдено совпадение — изолируйте хост и удалите правило тестовым инструментом.

Решающее дерево (Mermaid)

flowchart TD
  A[Обнаружена подозрительная активность] --> B{Антивирус обнаружил Pinkslipbot?}
  B -- Да --> C[Изолировать хост и запустить удаляющий инструмент]
  B -- Нет --> D[Проверить UPnP и правила проброса портов]
  D -- Есть подозрительные правила --> C
  D -- Нет правил --> E[Провести форензик и мониторинг]
  C --> F[Удалить правила, отключить UPnP, перезагрузить роутер]
  F --> G[Сканирование и восстановление]
  E --> G

Критерии приёмки (проверка успешного восстановления)

• Отсутствие неизвестных правил проброса портов в интерфейсе маршрутизатора.
• Отсутствие подозрительных слушающих портов и процессов на проверенных хостах.
• Отсутствие входящих соединений на ранее проброшенные порты в течение 72 часов мониторинга.
• Подтверждённое обновление паролей и сертификатов, при необходимости — их отозвание.

Часто задаваемые вопросы

Как понять, что мой роутер пострадал?

Если вы видите в интерфейсе маршрутизатора правила проброса, которые вы не создавали, или если UPnP был включён и сохранял активность без вашего вмешательства — это явный признак злоупотребления.

Достаточно ли отключить UPnP, чтобы быть в безопасности?

Отключение UPnP значительно снижает риск автоматического проброса портов, но не убирает уже созданные правила и не лечит заражённые хосты. Всегда комбинируйте отключение UPnP с очисткой хостов и проверкой правил.

Нужно ли переустанавливать Windows после обнаружения Pinkslipbot?

Если есть доказательства глубокой компрометации (скрытые драйверы, кривые службы, подозрительные задачи), безопаснее восстановить систему из надёжного образа или переустановить ОС. Для отдельных случаев может хватить удаления и последующего мониторинга.

Заключение

Pinkslipbot демонстрирует, что классические банковские трояны эволюционируют: теперь атакующие не только воруют учётные данные, но и превращают машины пользователей в долгоживущие прокси, эксплуатируя доверие UPnP. Главные меры защиты — отключение UPnP, проверка и удаление неизвестных правил проброса портов, тщательная очистка заражённых хостов и образование пользователей по фишингу и безопасным практикам.

Если вы столкнулись с Pinkslipbot — опишите ситуацию: это было в домашней сети или в организации? Были ли заблокированы учётные записи? Ваш опыт поможет другим понять распространённость проблемы.

Image Credit: akocharm via Shutterstock