Stopabit es una aplicación no deseada que casi no tiene ninguna funcionalidad útil. Los usuarios pueden ver sus promociones como una herramienta útil para el control del tiempo frente a la pantalla, pero en realidad pretende explotar el ancho de banda. Esto puede provocar problemas de conectividad y tráfico ilícito que se enruta a través del sistema..
Estas aplicaciones se distribuyen habitualmente mediante paquetes de software.. Esto supone la instalación junto con software pirateado., mods de juegos y software similar de fuentes cuestionables.
Descripción general del virus Stopabit
Stopabit es un software malicioso que se manifiesta como un proceso dentro del Administrador de tareas de Windows. Cae dentro de las Aplicaciones Potencialmente No Deseadas (PUA) categoría, trabajando como proxyware. Esto significa que Stopabit puede enrutar el tráfico de terceros a través del sistema en el que está activo.. Aparte de esto, pretende ser una herramienta conveniente para programar breves descansos en el uso de su PC, presumiblemente para cuidar tus ojos.
El principal peligro del proxyware es el uso no autorizado del ancho de banda del sistema.. Durante la instalación, Stopabit dice que monetizará usando Globalhop SDK. Este último parece legítimo sólo en la superficie.: como numerosos análisis de conocidos proveedores de seguridad muestran, Este SDK se utilizó repetidamente para enrutar tráfico ilegal.. Como los servicios de proxy grises son bastante populares en Darknet, Es bastante fácil entender de dónde viene este tráfico..
EULA de la aplicación Stopabit - con las filas relativas al uso de Globalhop SDK
EULA de la aplicación Stopabit - con las filas relativas al uso de Globalhop SDKDe manera similar a otras aplicaciones de proxyware, Stopabit ingresa a los dispositivos de los usuarios principalmente a través de software pirateado y programas ilegales similares. como keygens y activadores. A veces, puede infiltrarse en los sistemas a través de versiones falsas de mods para juegos populares.
Análisis de tiempo de ejecución de Stopabit
Para entender cómo funciona Stopabit, Repasemos cada paso de sus acciones analizando. una de sus muestras. Inmediatamente después de la instalación, envía la notificación a la bandeja, ofreciendo comenzar a usar la herramienta.
La interfaz del programa es bastante ascética., por decir lo menos. Sólo hay un panel con posibles acciones.; el resto de las cosas que están disponibles en la bandeja son solo EULA, Algunas configuraciones básicas e información del programa.. La cuestión es que todas estas funciones ya están presentes en Windows., como parte de la aplicación Focus.
Y bueno, el plato fuerte de Stopabit es su módulo proxyware. Comienza junto con el programa., y parece tener su propia configuración de persistencia. Incluso cuando detienes el programa desde la bandeja, el proceso correspondiente en el Administrador de tareas sigue ejecutándose. Esto significa que las conexiones proxy seguirán funcionando hasta que elimines el programa por completo..
Reconocimiento del sistema
Stopabit intenta recopilar información detallada sobre el sistema interactuando con el Registro de Windows, consultar procesos en ejecución, y leer varios ajustes de configuración del sistema. También intenta obtener información sobre el software instalado., incluyendo políticas de software y GUID de máquina criptográfica, la versión del sistema operativo, información del sistema, consultar variables de entorno, y obtener el tamaño del disco, lenguaje del sistema, localización geográfica, e información de zona horaria.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ICM\RegisteredProfiles
HKCU\Software\Classes\Local
HKCU\Software\Classes\Local Settings\MuiCache\1F4\52C64B7E\LanguageList
Las claves de registro incluyen preferencias de interfaz y de idioma., Configuraciones de la aplicación, conexión a Internet, Detalles de sesión y recuperación., aplicaciones instaladas, configuración de internet, certificados de seguridad, configuración de Windows, valores de registro, y políticas de seguridad.
También intenta detectar máquinas virtuales para dificultar el análisis por este valor.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ICM\RegisteredProfiles
Esta clave de registro está relacionada a la gestión del color en Windows. El malware entiende si se encuentra en un entorno virtualizado en función de la respuesta recibida.
conexión C2
El malware utiliza protocolos web seguros. (HTTPS) para comunicarse con su servidor de comando y control. Esto hace que la detección de tráfico malicioso sea una tarea excepcionalmente difícil., ya que esto bloquea la capacidad de detectarlo por partes específicas. También transmite datos utilizando los siguientes puertos no estándar: otra función antidetección y antisniff. Todos los servidores C2 posibles están codificados en la muestra., probablemente durante la compilación.
track.stopabit.com/v1/?c=381B2D6D-3DF2-41A2-8798-9AD14FB5F586&i=ba6361541ad79f7d5bb94c8f8cec972d&e=preinstall&n=Stopabit&v=1.0.2.0
128.140.126.44:32069 (UDP)
a83f:8110:0:0:1400:1400:2800:3800:53 (UDP)
a83f:8110:2800:0:2800:0:1800:0:53 (UDP)
Cómo quitar Stopabit?
La eliminación casi obligatoria de Stopabit implica el uso de software antimalware. GridinSoft Anti-Malware es una gran solución para eliminar Stopabit y otros programas maliciosos con unos pocos clics. La eliminación manual apenas es posible, ya que esta aplicación crea numerosas copias de seguridad alrededor del disco, eso restaurará la amenaza. GridinSoft los encontrará y los eliminará todos a la vez: simplemente ejecute un análisis completo.
