警惕:利用防毒軟體 更狡猾的木馬(轉)
警惕:利用防毒軟體 更狡猾的木馬(轉)[@more@]出處:賽迪網
一名經驗豐富的惡意軟體研究者Joe Stewart在開始研究SpamThru木馬後才確信情況確實是他所觀察到的這樣。SpamThru木馬是一款被設計可以從被感染的計算機發出垃圾郵件的惡意軟體。這一使用了點對點技術以向被劫持的計算機發出指令的木馬居然裝備了其自身的反病毒掃描工具——這樣的複雜程度甚至不亞於一些商業軟體。
這名在位於亞特蘭大SecureWorks工作的高階安全研究員Stewart說:“這是我第一次看到這種情況,它的重要性在於其新的創意。它這樣做的目的僅是為了將所有系統資源佔為己有——如果系統中存在諸如大量傳送郵件的病毒與之競爭,這將降低它可以傳送的垃圾數量。”
大多數病毒和木馬已經可以透過在hosts檔案中將反病毒軟體升級站點設定為本地地址以阻止反病毒軟體下載更新。意在奪取被感染系統控制權的惡意駭客也曾透過殺掉程式、移除登錄檔鍵值或設定互斥程式以使其他惡意軟體以為它們已經在執行從而在啟動後立刻退出等方式來移除與之競爭的惡意軟體。
但是,就像Stewart在他的分析中所發現的那樣,SpamThru使這種競賽達到了一個新的水平,它事實上使用了一個反病毒引擎以對付潛在的競爭者。
Stewart說,在該木馬啟動時,它從作者的命令與控制伺服器請求並裝載一個DLL,隨後這一DLL下載一份盜版的卡巴斯基反病毒軟體到被感染系統的一個隱藏目錄中。它可以為這一卡巴斯基DLL在記憶體中執行的許可證簽名檢查打上補丁以避免卡巴斯基由於無效或過期的許可證而拒絕執行。
這一DLL下載10分鐘後,它開始在系統中掃描惡意軟體,在此過程中會自動跳過它檢測到的屬於其自身安裝一部分的檔案。在該系統上發現的任何其它惡意軟體都被設定為在下次重啟時由Windows刪除。
他說,“我起初以為在透過P2P傳送升級前的分散式掃描和程式碼變種是一個可以永遠避免被檢測到的巧妙方法。”但是他直到仔細檢查這些與其競爭的惡意軟體檔案被移除的方式後才認識到,這是一個高度複雜的操作,它全力工作以利用被偷走的頻寬發出垃圾郵件。
Stewart還發現SpamThru使用了一個巧妙的指令與控制結構以避免被關閉。
該木馬使用了自定義的P2P協議以與其他人共享資訊——包括IP地址,埠以及控制伺服器的軟體版本。
他說:“控制仍由一箇中心伺服器進行,但是萬一該控制伺服器被關閉,這一木馬只要控制了至少一個同夥,就可以向其他同夥告知新控制伺服器的地址。”
Stewart發現,這一網路通常包括一個控制伺服器(在不同埠執行多個同等網路),若干模版伺服器,以及每個埠大約500個同夥。他補充道,對於每個埠可以有效控制多少同夥似乎有限制,因為在兩臺主機間共享的資訊量是相當大的。他說:“與我們所看到的控制伺服器連線的被感染的主機的數目估計在所有開放的埠上共有1000到2000臺。”
這一木馬使用基於模版的垃圾郵件,它建立了一個其中每個SpamThru客戶端都是其自身垃圾引擎的系統,並下載包含垃圾資訊、用於在每個郵件中產生不同hash的隨機短語、隨機的“來自”名稱以及一個包含幾百個電子郵件地址的列表的模版以傳送垃圾廣告。
這些模版是加密的,並且使用了一種詢問-應答驗證方法以防止第三方軟體可以從模版伺服器下載到這些模版。Stewart還發現這一木馬對GIF檔案進行隨機化——改變影像的長度和寬度——以使基於靜態影像判斷拒絕電子郵件的反垃圾方案對其無能為力。
Stewart說:“儘管我們在過去遇到過由惡意軟體建立的自動化的垃圾郵件網路,現在這個卻是最複雜的之一。它的複雜度和規模甚至已經不亞於某些商業軟體。顯然垃圾製造者在它的架構上下了大工夫以維持他們的收入水平。”
Stewart在他的分析中還發現,SpamThru正被用於操縱基於垃圾郵件的炒股詐騙(pump-and-dump stock scheme)。
(譯者注:炒股詐騙是指使用者收到的郵件等資訊中催促讀者儘快購買某股票。郵件發出者聲稱其知道關於某些即將發生的事情的內幕,或者是聲稱其使用一種“不可能出錯的”經濟學和股票市場資料的組合來挑選股票。而事實上,這些資訊發出者可能是公司內部人員或者某些被金錢操縱的人,他們只要在股價被他們造成的購買狂潮“抬高”(pumped)後賣出自己的股票就一定能獲利。一旦這些騙子“拋售”(dumped)他們的股票並不再大肆宣傳,股價通常會下降,於是投資者們的投入的金錢就無影無蹤了。)
一名經驗豐富的惡意軟體研究者Joe Stewart在開始研究SpamThru木馬後才確信情況確實是他所觀察到的這樣。SpamThru木馬是一款被設計可以從被感染的計算機發出垃圾郵件的惡意軟體。這一使用了點對點技術以向被劫持的計算機發出指令的木馬居然裝備了其自身的反病毒掃描工具——這樣的複雜程度甚至不亞於一些商業軟體。
這名在位於亞特蘭大SecureWorks工作的高階安全研究員Stewart說:“這是我第一次看到這種情況,它的重要性在於其新的創意。它這樣做的目的僅是為了將所有系統資源佔為己有——如果系統中存在諸如大量傳送郵件的病毒與之競爭,這將降低它可以傳送的垃圾數量。”
大多數病毒和木馬已經可以透過在hosts檔案中將反病毒軟體升級站點設定為本地地址以阻止反病毒軟體下載更新。意在奪取被感染系統控制權的惡意駭客也曾透過殺掉程式、移除登錄檔鍵值或設定互斥程式以使其他惡意軟體以為它們已經在執行從而在啟動後立刻退出等方式來移除與之競爭的惡意軟體。
但是,就像Stewart在他的分析中所發現的那樣,SpamThru使這種競賽達到了一個新的水平,它事實上使用了一個反病毒引擎以對付潛在的競爭者。
Stewart說,在該木馬啟動時,它從作者的命令與控制伺服器請求並裝載一個DLL,隨後這一DLL下載一份盜版的卡巴斯基反病毒軟體到被感染系統的一個隱藏目錄中。它可以為這一卡巴斯基DLL在記憶體中執行的許可證簽名檢查打上補丁以避免卡巴斯基由於無效或過期的許可證而拒絕執行。
這一DLL下載10分鐘後,它開始在系統中掃描惡意軟體,在此過程中會自動跳過它檢測到的屬於其自身安裝一部分的檔案。在該系統上發現的任何其它惡意軟體都被設定為在下次重啟時由Windows刪除。
他說,“我起初以為在透過P2P傳送升級前的分散式掃描和程式碼變種是一個可以永遠避免被檢測到的巧妙方法。”但是他直到仔細檢查這些與其競爭的惡意軟體檔案被移除的方式後才認識到,這是一個高度複雜的操作,它全力工作以利用被偷走的頻寬發出垃圾郵件。
Stewart還發現SpamThru使用了一個巧妙的指令與控制結構以避免被關閉。
該木馬使用了自定義的P2P協議以與其他人共享資訊——包括IP地址,埠以及控制伺服器的軟體版本。
他說:“控制仍由一箇中心伺服器進行,但是萬一該控制伺服器被關閉,這一木馬只要控制了至少一個同夥,就可以向其他同夥告知新控制伺服器的地址。”
Stewart發現,這一網路通常包括一個控制伺服器(在不同埠執行多個同等網路),若干模版伺服器,以及每個埠大約500個同夥。他補充道,對於每個埠可以有效控制多少同夥似乎有限制,因為在兩臺主機間共享的資訊量是相當大的。他說:“與我們所看到的控制伺服器連線的被感染的主機的數目估計在所有開放的埠上共有1000到2000臺。”
這一木馬使用基於模版的垃圾郵件,它建立了一個其中每個SpamThru客戶端都是其自身垃圾引擎的系統,並下載包含垃圾資訊、用於在每個郵件中產生不同hash的隨機短語、隨機的“來自”名稱以及一個包含幾百個電子郵件地址的列表的模版以傳送垃圾廣告。
這些模版是加密的,並且使用了一種詢問-應答驗證方法以防止第三方軟體可以從模版伺服器下載到這些模版。Stewart還發現這一木馬對GIF檔案進行隨機化——改變影像的長度和寬度——以使基於靜態影像判斷拒絕電子郵件的反垃圾方案對其無能為力。
Stewart說:“儘管我們在過去遇到過由惡意軟體建立的自動化的垃圾郵件網路,現在這個卻是最複雜的之一。它的複雜度和規模甚至已經不亞於某些商業軟體。顯然垃圾製造者在它的架構上下了大工夫以維持他們的收入水平。”
Stewart在他的分析中還發現,SpamThru正被用於操縱基於垃圾郵件的炒股詐騙(pump-and-dump stock scheme)。
(譯者注:炒股詐騙是指使用者收到的郵件等資訊中催促讀者儘快購買某股票。郵件發出者聲稱其知道關於某些即將發生的事情的內幕,或者是聲稱其使用一種“不可能出錯的”經濟學和股票市場資料的組合來挑選股票。而事實上,這些資訊發出者可能是公司內部人員或者某些被金錢操縱的人,他們只要在股價被他們造成的購買狂潮“抬高”(pumped)後賣出自己的股票就一定能獲利。一旦這些騙子“拋售”(dumped)他們的股票並不再大肆宣傳,股價通常會下降,於是投資者們的投入的金錢就無影無蹤了。)
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962145/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 怪木馬自帶防毒軟體 能使卡巴斯基過期(轉)防毒
- 警惕木馬Dropper病毒連結非法網站(轉)網站
- Astaroth木馬新變種來了,可繞過防毒軟體檢測AST防毒
- 警惕破解軟體!APS 竊密木馬已感染萬餘臺裝置
- 警惕“仙劍”木馬篡改瀏覽器首頁瀏覽器
- CCTV:未知木馬防不勝防 主動防禦是防毒軟體發展方向防毒
- 利用msfvenom生成木馬檔案
- 年關需警惕!商業間諜木馬AZORult通過條碼列印軟體傳播竊密
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- 利用DNS隧道通訊木馬分析DNS
- 卡巴斯基提醒:警惕惡性木馬劫持瀏覽器瀏覽器
- 利用第三方軟體 0day 漏洞載入和執行的木馬分析
- 防毒軟體要慎用!分享防毒軟體的幾個誤區防毒
- 一個簡單木馬分析及接管利用
- 網管軟體禁止網購木馬偷樑換柱
- 各大防毒軟體比較與相關防毒技術介紹(轉)防毒
- 微信小程式swiper旋轉木馬微信小程式
- oracle windows 防毒軟體OracleWindows防毒
- 最好的8款防毒軟體防毒
- 日常“列印軟體”竟然暗藏遠控木馬,白領小心中招!
- 經驗:常見木馬和未授權控制軟體的關閉2
- 程式猿生存指南-52 旋轉木馬
- win10用什麼防毒軟體好_適合win10的防毒軟體Win10防毒
- 賽門鐵克發現同時自帶SHA1和SHA2證書籤名的狡猾金融木馬
- 如何選擇防毒軟體?防毒
- 關於防毒軟體薦防毒
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 色情捆綁木馬:起底軟體下載三大新陷阱
- 病毒木馬釣魚網站肉雞等技術的正向利用網站
- 移花接木大法:新型“白利用”華晨遠控木馬分析
- Android木馬利用Tor隱藏指令伺服器位置Android伺服器
- Linux下安裝和使用防毒軟體AntiVir(轉)Linux防毒
- 突破常規限制執行asp木馬(轉)
- win10 自帶的防毒軟體好用麼?win10 自帶的防毒軟體如何使用Win10防毒
- 回顧&展望:防毒軟體的“前世今生”防毒
- 和防毒軟體愉快玩耍的日子防毒