黑客利用卡巴斯基和微軟安全軟件安裝窺探木馬

近日,Palo Alto Networks的研究小組發(fā)現(xiàn)了一個(gè)新的木馬(窺探木馬),它可以利用電腦的安全軟件荷載DLL,然后將其安裝在電腦上。
 

黑客利用卡巴斯基和微軟安全軟件安裝窺探木馬
 

也許安裝在你的電腦上的安全軟件已經(jīng)不那么安全了。該研究小組將他們新發(fā)現(xiàn)的木馬稱為Bookworm。Palo Alto Networks聲稱Bookworm與PlugX RAT有一些很明顯的聯(lián)系。目前,這個(gè)木馬被觀察到活動(dòng)于一個(gè)高持續(xù)性威脅(APT)組,其主要活躍于泰國(guó)。
 

從前景來(lái)看,Bookworm是最新趨勢(shì)的一個(gè)擴(kuò)展,也就是它會(huì)使用模塊化的惡意軟件。模塊化的惡意軟件就是在惡意軟件上配備自行安裝的能力,并且由于它是多層運(yùn)行的,識(shí)別它們變得非常困難。遠(yuǎn)程指揮和控制服務(wù)器通常被用于確定需要上傳什么內(nèi)容,它通常會(huì)根據(jù)感染目標(biāo)設(shè)備的概要進(jìn)行分析。
 

Bookworm木馬擁有簡(jiǎn)單的內(nèi)部架構(gòu):一種XOR算法被用于加密各種惡意的DLL,然后一個(gè)自述文件將它們綁在一起。
 

Bookworm木馬
 

當(dāng)一些DLL被寫入自解壓RAR存檔文件后,可執(zhí)行文件會(huì)跟自述文件放在一起。然后這個(gè)RAR存檔文件會(huì)跟應(yīng)用程序壓縮在一起,創(chuàng)建出一個(gè)被稱為智能安裝程序制造者的安裝包。這個(gè)應(yīng)用程序會(huì)創(chuàng)建一個(gè)安裝程序,在被黑客發(fā)布后會(huì)觸發(fā)一個(gè)自解壓式硬件,并且卸載受感染的自述文件,DLL以及EXE。一旦完成了安裝的工作,EXE會(huì)自動(dòng)啟動(dòng),并從微軟惡意軟件防護(hù)(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或兩者中尋找可執(zhí)行文件。在定位時(shí),EXE會(huì)邊荷載Dll到這些安全產(chǎn)品中,并將自己偽裝成微軟應(yīng)用程序,然后利用這些安全應(yīng)用的權(quán)限來(lái)進(jìn)行安裝。
 

現(xiàn)在,Bookworm會(huì)提取和加載自述文件中的其他模塊,它還開(kāi)始與指揮和控制服務(wù)器進(jìn)行通信,通過(guò)受感染的設(shè)備將數(shù)據(jù)發(fā)送到服務(wù)器。
 

但是研究者們沒(méi)有提到Bookworm加載或下載時(shí)的模塊類型,因?yàn)樗麄兊难芯渴艿搅俗璧K——這個(gè)木馬在與C&C服務(wù)器通信時(shí)使用了四種不同的加密算法。這些算法包括RC4、AES、XOR和LZO。
 

網(wǎng)友評(píng)論
圖文推薦
  • 百度殺毒怎么樣 百度殺毒軟件好嗎

    百度殺毒軟件好嗎?這是很多用戶在使用百度殺毒這款軟件之前的疑問(wèn),因?yàn)闅⒍拒浖?shí)在太多,用戶有這樣的疑問(wèn)也無(wú)可厚非,今天,小編就帶大家看看百度殺毒的一些特色吧,或許能夠解答用戶的疑問(wèn)了!

  • 勒索病毒怎么清除 勒索病毒徹底清除方法

    很多用戶的電腦遭受了勒索病毒的侵入,那么要如何清除勒索病毒呢?接下來(lái),小編就為大家?guī)?lái)勒索病毒清除方法以及勒索病毒清除工具,感興趣的朋友可以來(lái)了解下。

  • 比特幣病毒怎么解決 比特幣病毒解決方法

    最近,很多朋友都被比特幣勒索病毒給刷屏了,黑客通過(guò)索要破解費(fèi)用來(lái)獲取利益,那么,比特幣病毒怎么破解呢?接下來(lái),小編就為大家?guī)?lái)比特幣病毒解決方法。