警惕：利用防毒軟體 更狡猾的木馬(轉)

警惕：利用防毒軟體 更狡猾的木馬(轉)[@more@]出處：賽迪網

一名經驗豐富的惡意軟體研究者Joe Stewart在開始研究SpamThru木馬後才確信情況確實是他所觀察到的這樣。SpamThru木馬是一款被設計可以從被感染的計算機發出垃圾郵件的惡意軟體。這一使用了點對點技術以向被劫持的計算機發出指令的木馬居然裝備了其自身的反病毒掃描工具——這樣的複雜程度甚至不亞於一些商業軟體。

這名在位於亞特蘭大SecureWorks工作的高階安全研究員Stewart說：“這是我第一次看到這種情況，它的重要性在於其新的創意。它這樣做的目的僅是為了將所有系統資源佔為己有——如果系統中存在諸如大量傳送郵件的病毒與之競爭，這將降低它可以傳送的垃圾數量。”

大多數病毒和木馬已經可以透過在hosts檔案中將反病毒軟體升級站點設定為本地地址以阻止反病毒軟體下載更新。意在奪取被感染系統控制權的惡意駭客也曾透過殺掉程式、移除登錄檔鍵值或設定互斥程式以使其他惡意軟體以為它們已經在執行從而在啟動後立刻退出等方式來移除與之競爭的惡意軟體。

但是，就像Stewart在他的分析中所發現的那樣，SpamThru使這種競賽達到了一個新的水平，它事實上使用了一個反病毒引擎以對付潛在的競爭者。

Stewart說，在該木馬啟動時，它從作者的命令與控制伺服器請求並裝載一個DLL，隨後這一DLL下載一份盜版的卡巴斯基反病毒軟體到被感染系統的一個隱藏目錄中。它可以為這一卡巴斯基DLL在記憶體中執行的許可證簽名檢查打上補丁以避免卡巴斯基由於無效或過期的許可證而拒絕執行。

這一DLL下載10分鐘後，它開始在系統中掃描惡意軟體，在此過程中會自動跳過它檢測到的屬於其自身安裝一部分的檔案。在該系統上發現的任何其它惡意軟體都被設定為在下次重啟時由Windows刪除。

他說，“我起初以為在透過P2P傳送升級前的分散式掃描和程式碼變種是一個可以永遠避免被檢測到的巧妙方法。”但是他直到仔細檢查這些與其競爭的惡意軟體檔案被移除的方式後才認識到，這是一個高度複雜的操作，它全力工作以利用被偷走的頻寬發出垃圾郵件。

Stewart還發現SpamThru使用了一個巧妙的指令與控制結構以避免被關閉。

該木馬使用了自定義的P2P協議以與其他人共享資訊——包括IP地址，埠以及控制伺服器的軟體版本。

他說：“控制仍由一箇中心伺服器進行，但是萬一該控制伺服器被關閉，這一木馬只要控制了至少一個同夥，就可以向其他同夥告知新控制伺服器的地址。”

Stewart發現，這一網路通常包括一個控制伺服器（在不同埠執行多個同等網路），若干模版伺服器，以及每個埠大約500個同夥。他補充道，對於每個埠可以有效控制多少同夥似乎有限制，因為在兩臺主機間共享的資訊量是相當大的。他說：“與我們所看到的控制伺服器連線的被感染的主機的數目估計在所有開放的埠上共有1000到2000臺。”

這一木馬使用基於模版的垃圾郵件，它建立了一個其中每個SpamThru客戶端都是其自身垃圾引擎的系統，並下載包含垃圾資訊、用於在每個郵件中產生不同hash的隨機短語、隨機的“來自”名稱以及一個包含幾百個電子郵件地址的列表的模版以傳送垃圾廣告。

這些模版是加密的，並且使用了一種詢問-應答驗證方法以防止第三方軟體可以從模版伺服器下載到這些模版。Stewart還發現這一木馬對GIF檔案進行隨機化——改變影像的長度和寬度——以使基於靜態影像判斷拒絕電子郵件的反垃圾方案對其無能為力。

Stewart說：“儘管我們在過去遇到過由惡意軟體建立的自動化的垃圾郵件網路，現在這個卻是最複雜的之一。它的複雜度和規模甚至已經不亞於某些商業軟體。顯然垃圾製造者在它的架構上下了大工夫以維持他們的收入水平。”

Stewart在他的分析中還發現，SpamThru正被用於操縱基於垃圾郵件的炒股詐騙（pump-and-dump stock scheme）。

（譯者注：炒股詐騙是指使用者收到的郵件等資訊中催促讀者儘快購買某股票。郵件發出者聲稱其知道關於某些即將發生的事情的內幕，或者是聲稱其使用一種“不可能出錯的”經濟學和股票市場資料的組合來挑選股票。而事實上，這些資訊發出者可能是公司內部人員或者某些被金錢操縱的人，他們只要在股價被他們造成的購買狂潮“抬高”(pumped)後賣出自己的股票就一定能獲利。一旦這些騙子“拋售”(dumped)他們的股票並不再大肆宣傳，股價通常會下降，於是投資者們的投入的金錢就無影無蹤了。）