高危預警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬

Darkcomet木馬是一款使用Delphi語言編寫的木馬程式，最早被發現於2008年，又稱“暗黑彗星”。該木馬執行後攻擊者擁有該主機完整的控制許可權，此時的使用者裝置已處於不設防的高危狀態，攻擊者不僅可以竊取上傳受害者鍵盤輸入、錄音、攝像頭資訊等隱私內容，還可根據服務端遠端指令執行下載、安裝軟體、啟動程式、執行指令碼等控制操作。同時，攻擊者還可用被控制的電腦作跳板，對其它目標發起DDoS攻擊和下發勒索軟體。
江民全球惡意程式碼樣本分析平臺資料顯示，近三個月來，全球有5244例DarkComet感染事件發生，波及範圍廣泛，該木馬幕後者可以完全控制，使用該木馬攻擊者和攻擊者所控制的其他“肉雞”，通過捕獲到的樣本檔案中的Users遺留的資料可以看出來幕後攻擊者已經使用該木馬控制了部分主機，分佈在阿拉伯國家、西班牙、越南、立陶宛、瑞典、日本、葡萄牙、芬蘭等國家。這種汙染上游供應鏈的方式，同時也使得幕後人也實現了更高效的“抓雞”行為，其餘使用該木馬的攻擊者都淪為了幕後人的“打工仔”，最終幕後人只需要坐收漁利就可以擁有全球大量的“肉雞”，因此也被稱為黑客版的“碟中諜”。

幕後者控制的部分主機名
幕後者使用的捆綁木馬也是DarkComet，C&C域名為fuckyoucunt.ddns.net，目前該域名已無效。這個古老的木馬深受攻擊者的青睞，儘管木馬作者於2012年已停止了對“暗黑彗星”木馬的更新，但由於其強大的木馬功能，至今仍有大量攻擊者使用該工具進行網路攻擊。控制端功能介面DarkComet在感染後會釋放木馬到：%appdata%\Microsoft\Windows\Templates\下，並設定其為系統隱藏屬性；隨後啟動木馬程式，並將木馬註冊為開機啟動，使用PE映像切換技術將木馬隱藏於svchost程式中，作為持續後門，一般情況下使用者很難發現電腦感染了該木馬。高危預警：感染該木馬後，遠端攻擊者擁有該主機完整的控制權，主要包括：1). 系統效能監控、系統資訊獲取、系統所屬地區分析；2). 檔案管理、程式管理、登錄檔管理、軟體安裝管理、遠端Shell；3). 攝像頭監控、錄音監控、遠端桌面管理、監控鍵盤記錄；4). 開啟埠、網路共享管理、印表機管理、Socks5代理、遠端下載執行；手工清除方法1). 開啟工作管理員，找到名為side.exe的程式，找到程式所對應的應用程式，刪除該應用程式。找到名為svchost.exe但使用者名稱為當前使用者名稱的應用程式，結束該程式；2). 刪除登錄檔項：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\side；3). 刪除登錄檔項：HKCU\Software\DC3_FEXEC。應對措施及建議1). 不執行來源不明的應用程式，不要從不可信任站點下載應用。對於已經停止支援的軟體不從非官方渠道下載使用；2). 安裝江民防病毒軟體，定期更新病毒庫使其能夠針對最新的變種病毒進行查殺。江民安全專家表示，通過偽裝或者捆綁下載是當前網際網路比較常見的一種傳播惡意程式碼的方式，對於非官方渠道提供的下載軟體應當謹慎使用，最好在使用之前校驗其雜湊值，特別是對於已經停止維護的軟體更需要在使用前對其進行安全檢查，比較方便的方式是通過防毒軟體驗證其安全性之後再使用，在一定程度上可以免受惡意程式碼的侵害了。

詳細分析報告請訪問:

http://www.jiangmin.com/download/DarkComet.pdf