PaloAltoNetworks的研究小组已经发现了一个新的木马,它会利用安全软件边荷载DLL,然后将自身安装在电脑上。
大概安装在你的电脑上的安全软件已经不那么安全了。该研究小组将他们新发现的木马称为Bookworm。
PaloAltoNetworks声称Bookworm与PlugXRAT有一些很显着的接洽。
如今,这个木马被观察到活动于一个高连续性威胁(APT)组,其重要活泼于泰国。
从远景来看,Bookworm是最新趋势的一个扩展,也就是它会利用模块化的恶意软件。
模块化的恶意软件就是在恶意软件上配备自行安装的本领,而且由于它是多层运行的,辨认它们变得非常困难。
长途指挥和控礼服务器通常被用于确定必要上传什么内容,它通常会根据感染目标装备的概要举行分析。
Bookworm木马拥有简单的内部架构:一种XOR算法被用于加密各种恶意的DLL,然后一个自述文件将它们绑在一起。
当一些DLL被写入自解压RAR存档文件后,可实行文件会跟自述文件放在一起.然后这个RAR存档文件会跟应用程序压缩在一起,创建出一个被称为智能安装程序制造者的安装包。
这个应用程序会创建一个安装程序,在被黑客发布后会触发一个自解压式硬件,而且卸载受感染的自述文件,DLL以及EXE。
一旦完成了安装的工作,EXE会主动启动,并从微软恶意软件防护(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或两者中探求可实行文件。
在定位时,EXE会边荷载Dll到这些安全产物中,并将本身伪装成微软应用程序,然后利用这些安全应用的权限来举行安装。
如今,Bookworm会提取和加载自述文件中的其他模块,它还开始与指挥和控礼服务器举行通讯,通过受感染的装备将数据发送到服务器。
但是研究者们没有提到Bookworm加载或下载时的模块范例,由于他们的研究受到了拦阻——这个木马在与CC服务器通讯时利用了四种差别的加密算法。
这些算法包罗RC4、AES、XOR和LZO。
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论