Trojan:Guión/Sabsik.fl.A!ml es un nombre de detección genérico utilizado por Microsoft Defender. Este nombre se utiliza especialmente para indicar malware ladrón que también posee capacidades de cuentagotas.. Puede realizar diversas actividades a elección del atacante en la computadora de la víctima., como espiar, robo de datos, control remoto, y instalación de otros virus. En este artículo, te diremos cómo analizar, detectar, y elimina este troyano de tu computadora.
¿Qué es el Trojan?:Guión/Sabsik.fl.A!ml?
Trojan:Guión/Sabsik.fl.A!ml es un troyano detectado por Windows Defender. Esta detección particularmente se refiere a malware ladrón que también es capaz de realizar otras actividades, por ejemplo, implementar otro malware.
Típicamente, Los troyanos Sabsik se distribuyen a través de correo no deseado. Los archivos adjuntos del correo electrónico contienen un script oculto que hace que el malware se descargue y se ejecute cuando se activan las macros.. Como resultado, usuarios que abrir accidentalmente estos archivos descargar y ejecutar el virus sin darte cuenta. Algunas muestras de Sabsik pueden autodistribuirse debido a vulnerabilidades en la red de Windows, como EternalBlue.
Análisis de amenazas del troyano Sabsik
Probablemente, la muestra de malware más conocida que fue detectada como troyano:Guión/Sabsik.fl.A!ml es el troyano Emotet. aunque ahora bordea su extinción, El hecho de que esta firma esté relacionada con este malware nos da una excelente pista sobre lo que puede esperar cuando Sabsik se ejecuta en el sistema..
Evasión de lanzamiento y detección
Emotet, también conocido como Sabsik, utiliza una variedad de técnicas para evitar la detección por software antivirus y asegúrese de que se ejecute correctamente en los sistemas de destino. El malware suele emplear un empaquetado profundo, ofuscación, y otras técnicas de evasión de detección, dificultando que las soluciones antivirus tradicionales detecten su presencia. Al organizar su lanzamiento, Este malware normalmente realiza un truco conocido como descarga de DLL..
regsvr32 /s C:\Users\Admin\AppData\Local\Temp\007852768570c1d9528259e7e52aecf5e4ae97dadd75a459cc53f9acca65054d.dll
– para registrar la DLL de malware.
C:\Windows\SysWOW64\rundll32.exe "C:\Users\Admin\AppData\Local\Temp\007852768570c1d9528259e7e52aecf5e4ae97dadd75a459cc53f9acca65054d.dll",DllRegisterServer
– para lanzar este último.
Módulos
Emotet es un malware modular, significado puede ampliar su funcionalidad cargando módulos adicionales. No todas las muestras de Sabsik poseen modularidad., pero se ha convertido en una característica cada vez más extendida en el malware moderno.. Algunos de los módulos comunes asociados con esta amenaza incluyen:
- Módulo ladrón – utilizado para robar credenciales bancarias y otra información confidencial.
- Módulo de Hardware – recopila información detallada sobre el sistema infectado.
- Módulo XMRig – utilizado para propósitos de minería de criptomonedas.
- Módulo avanzado de robo de correo electrónico – roba credenciales de correo electrónico y listas de contactos.
- Módulo de movimiento lateral SMB – permite el movimiento lateral dentro de una red explotando las vulnerabilidades de las SMB.
- Proxy de tráfico (UPnP) Módulo – facilita la redirección del tráfico a servidores C2 a través de servidores comprometidos.
Estableciendo persistencia & Robo de datos
Después de infectar el sistema., Sabsik crea una clave de registro en el registro del sistema infectado, asegurándose de que se inicie cada vez que se inicie el sistema. Este mecanismo de persistencia permite a Sabsik mantener un punto de apoyo en el sistema infectado., incluso después de reiniciar. El malware crea una clave DWORD con el siguiente contenido en la sección de registro HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun:
C:\Windows\SysWOW64\regsvr32.exe /s "C:\Windows\SysWOW64\Tzusqvzhnftw\gwwfpucmcdt.ruj
Recopilación de datos & Otra funcionalidad
A pesar de centrarse en la información bancaria, Emotet/Sabsik es capaz de recolectar various types of sensitive information de sistemas infectados. Esto puede incluir nombres de usuario, contraseñas, información del sistema, y credenciales de correo electrónico. Sabsik también Posee funcionalidad para la autopropagación. a través del spam de correo electrónico y el movimiento lateral dentro de las redes, permitiéndole propagarse rápidamente e infectar múltiples sistemas.
Entrega de malware por Emotet
A pesar de originalmente ser un ladrón de bancos, Emotet es principalmente conocido como malware cuentagotas. En los mejores días, Se utilizaron vastas redes controladas por Emotet para implementar varias cargas útiles en los sistemas infectados.. Entre ellos se encontraban ransomware, software espía, mineros de monedas, y otros tipos de malware. Emotet se dirige indiscriminadamente tanto a usuarios individuales como a organizaciones, difundiendo sus cargas maliciosas según las directivas de sus operadores.
C:\Program Files\Google\Chrome\Application\chrome.exe" --disk-cache-dir=null --disk-cache-size=1 --media-cache-size=1 --disable-gpu-shader-disk-cache --disable-background-networking --disable-features=OptimizationGuideModelDownloading,OptimizationHintsFetching,OptimizationTargetPrediction,OptimizationHints "https://brooklyn.blob.core.windows.net/pen-test/MaliciousDOC.doc
Trojan:Guión/Sabsik.fl.A!ml – Falso positivo o no?
En algunos casos, El troyano Sabsik puede ser detectado erróneamente por el antivirus software si intenta ejecutar un archivo legítimo, como un juego, solicitud, o conductor. Esto puede suceder debido a una firma incorrecta., incompatibilidad, corrupción, o cambio de archivo. Según varios informes de usuarios., Juegos populares descargado de fuentes legítimas A veces puede ser marcado por error como troyano.:Guión/Sabsik.fl.A!ml.
Un ejemplo particular proviene de un usuario de BattleNET que compró Diablo II Resurrected y fue advirtió sobre el troyano Sabsik al intentar iniciar el juego. No es difícil adivinar que un juego lanzado por una empresa tan grande como Blizzard no contendría malware.. Si usted es 100% seguro que la fuente de tu descarga sea segura, la notificación del troyano Sabsik podría ser fácilmente un falso positivo.
También es importante destacar la presencia de la «!ml» partícula agregada al nombre de la detección. Esto significa el uso de un Sistema de detección de IA. Si bien este método es muy eficaz, Puede generar detecciones de falsos positivos sin confirmación de otros sistemas de detección..
Sin embargo, es imposible ser 100% seguro que la fuente de las descargas sea segura. Si después de interactuar con un archivo sombra de origen desconocido ves una advertencia sobre el programa troyano Sabsik, debes poner en cuarentena/eliminar la fuente de la amenaza.
Cómo eliminar troyano:Guión/Sabsik.fl.A!ml?
Si se detectó el troyano Sabsik en un archivo que no es de confianza, deberías borrarlo. Sin embargo, esto no es suficiente para estar seguro de tu seguridad. Nosotros recomendamos realizar un análisis completo del sistema con una herramienta anti-malware confiable como GridinSoft Anti-Malware. Por último, pero no menos importante, es posible que desee considerar cambiar contraseñas importantes en caso de que estén comprometidas, aunque es poco probable que esto suceda.