WingsOfGod.dll – Análisis de malware WogRAT & Eliminación

WogRAT Malware (WingsOfGod.dll) - Teardown and Removal Tutorial
WogRAT is a pretty simple backdoor with mysterious spreading ways

WogRAT, también conocido como WingsOfGod RAT, es un troyano novato de acceso remoto que ataca a usuarios de países asiáticos. El nombre de su propio archivo: Wingsofgod.dll, este malware ataca a personas desde tarde 2022, difundiendo a través del servicio de bloc de notas en línea.

¿Qué es WogRAT? (WingsOfGod.dll)?

WogRAT es un ejemplo clásico de troyano de acceso remoto, un programa malicioso similar a una puerta trasera que se centra en proporcionar acceso remoto al sistema infectado. Los investigadores de ASEC fueron los primeros en detectar y rastrear la campaña de malware. Además, enfatizan que este programa malicioso se dirige principalmente a países asiáticos. Porcelana, Japón, Singapur y Hong Kong en primer lugar.

Lo extraño de WogRAT es que sus campañas de difusión no fueron detectadas, aunque algunos de los métodos fueron explicados en la investigación original. malware (más específicamente - su cargador) está disfrazado de un archivo publicado en un servicio de bloc de notas en línea. Su denominación supone que los fraudes ofrecen WogRAT como una utilidad de algún tipo para ajustar el sistema/programa.. Éste, a su vez, supone que la propagación inicial del malware se produce en lugares "cerrados", como chats en messengers o similares.

Cadenas codificadas un Bloc de notas
Cadenas codificadas almacenadas en un Bloc de notas

Nombres de archivos de carga de malware que están disponibles en un Bloc de notas:

BrowserFixup.exe, ChromeFixup.exe, WindowsApp.exe, WindowsTool.exe, HttpDownload.exe, ToolKit.exe, flashsetup_LL3gjJ7.exe

Análisis técnico WogRAT Malware

Como ya he dicho, la descarga original del sitio aNotepad obtiene sólo el cargador de malware en forma codificada. Tras la ejecución, se compila a sí mismo durante la ejecución y solicita la carga útil real desde una página diferente alojada en el mismo sitio. Dependiendo del ataque, la fuente de la carga útil de la segunda etapa puede diferir.

C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 /OUT:C:\Users\\AppData\Local\Temp\RESF175.tmp c:\Users\\AppData\Local\Temp\2jahfobn\CSC51D40ACB8B5440B2A46FD286719924C.TMP – the command used by the loader to compile itself

El archivo descargado es un ensamblado .NET similar, codificado con Base64 y presentar como una cadena de texto en el sitio web de origen. El cargador descifra la carga útil y la carga en la memoria utilizando la técnica de vaciado de procesos..

C:\Windows\SysWOW64\WerFault.exe -u -p 8008 -s 2068

Al iniciar, WogRAT recopila información básica del sistema comprobando diferentes claves de registro y ejecutando comandos. En particular, recopila información sobre conexiones de red, versión del sistema, nombre de usuario y parte de la información sobre las políticas del sistema. El malware acumula estos datos con la información de su propio proceso y los envía al servidor de comando en la solicitud HTTP POST. Después de eso, el malware cambia a inactivo, esperando los comandos.

act=on&bid=4844-1708721090438&name=System1\User1

WogRAT tiene un conjunto bastante interesante de comandos y propiedades que espera recibir. La fórmula simplificada consiste en 3 elementos, y se parece a esto:

Elemento Valor y propósito
task_id=%id% valor de texto, corresponde a la tarea
tipo_tarea=%tipo% valor numérico, corresponde a la acción
task_data=�tos% Ruta al archivo al que se debe aplicar la tarea (URL para descargas)

El comando resultante es como el siguiente:

task_id=upldr&task_type=3&task_data=C:\\Windows\System32\drivers\etc\hosts

Este malware admite 5 diferentes tipos de operaciones: ejecutando archivos específicos, descargar o cargar los archivos, alterar el tiempo de inactividad, y poner fin a la ejecución. No es una lista enorme a primera vista., pero en combinación con diferentes tipos de tareas, esto proporciona una funcionalidad de puerta trasera completa.

Cómo eliminar WogRAT?

WogRAT no es el malware más sigiloso que existe; De hecho, depende más del complicado método de distribución y del cargador de dos etapas.. Aún, la cantidad de ganchos que crea en el sistema hace que sea particularmente difícil de quitar manualmente. Por esta razón, Recomiendo usar GridinSoft Anti-Malware: un escaneo completo con ese programa será suficiente para repeler la RAT y todas sus partes en todo el sistema.

<lapso largo = "uno">WingsOfGod.dll &#8211; Análisis de malware WogRAT &#038; Eliminación</durar>

Por Stephanie Adlam

Escribo sobre cómo hacer que tu navegación por Internet sea cómoda y segura. Vale la pena formar parte del mundo digital moderno y quiero mostrarte cómo hacerlo correctamente.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *