警惕:利用杀毒软件 更狡猾的木马
一名经验丰富的恶意软件研究者Joe Stewart在开始研究SpamThru木马后才确信情况确实是他所观察到的这样。SpamThru木马是一款被设计可以从被感染的计算机发出垃圾邮件的恶意软件。这一使用了点对点技术以向被劫持的计算机发出指令的木马居然装备了其自身的反病毒扫描工具——这样的复杂程度甚至不亚于一些商业软件。这名在位于亚特兰大SecureWorks工作的高级安全研究员Stewart说:“这是我第一次看到这种情况,它的重要性在于其新的创意。它这样做的目的仅是为了将所有系统资源占为己有——如果系统中存在诸如大量发送邮件的病毒与之竞争,这将降低它可以发送的垃圾数量。”
大多数病毒和木马已经可以通过在hosts文件中将反病毒软件升级站点设置为本地地址以阻止反病毒软件下载更新。意在夺取被感染系统控制权的恶意黑客也曾通过杀掉进程、移除注册表键值或设置互斥进程以使其他恶意软件以为它们已经在运行从而在启动后立刻退出等方式来移除与之竞争的恶意软件。
但是,就像Stewart在他的分析中所发现的那样,SpamThru使这种竞赛达到了一个新的水平,它事实上使用了一个反病毒引擎以对付潜在的竞争者。
Stewart说,在该木马启动时,它从作者的命令与控制服务器请求并装载一个DLL,随后这一DLL下载一份盗版的卡巴斯基反病毒软件到被感染系统的一个隐藏目录中。它可以为这一卡巴斯基DLL在内存中运行的许可证签名检查打上补丁以避免卡巴斯基由于无效或过期的许可证而拒绝运行。
这一DLL下载10分钟后,它开始在系统中扫描恶意软件,在此过程中会自动跳过它检测到的属于其自身安装一部分的文件。在该系统上发现的任何其它恶意软件都被设定为在下次重启时由Windows删除。
他说,“我起初以为在通过P2P发送升级前的分布式扫描和代码变种是一个可以永远避免被检测到的巧妙方法。”但是他直到仔细检查这些与其竞争的恶意软件文件被移除的方式后才认识到,这是一个高度复杂的操作,它全力工作以利用被偷走的带宽发出垃圾邮件。
Stewart还发现SpamThru使用了一个巧妙的指令与控制结构以避免被关闭。
该木马使用了自定义的P2P协议以与其他人共享信息——包括IP地址,端口以及控制服务器的软件版本。
他说:“控制仍由一个中心服务器进行,但是万一该控制服务器被关闭,这一木马只要控制了至少一个同伙,就可以向其他同伙告知新控制服务器的地址。”
Stewart发现,这一网络通常包括一个控制服务器(在不同端口运行多个同等网络),若干模版服务器,以及每个端口大约500个同伙。他补充道,对于每个端口可以有效控制多少同伙似乎有限制,因为在两台主机间共享的信息量是相当大的。他说:“与我们所看到的控制服务器连接的被感染的主机的数目估计在所有开放的端口上共有1000到2000台。”
这一木马使用基于模版的垃圾邮件,它建立了一个其中每个SpamThru客户端都是其自身垃圾引擎的系统,并下载包含垃圾信息、用于在每个邮件中产生不同hash的随机短语、随机的“来自”名称以及一个包含几百个电子邮件地址的列表的模版以发送垃圾广告。
这些模版是加密的,并且使用了一种询问-应答验证方法以防止第三方软件可以从模版服务器下载到这些模版。Stewart还发现这一木马对GIF文件进行随机化——改变图像的长度和宽度——以使基于静态图像判断拒绝电子邮件的反垃圾方案对其无能为力。
Stewart说:“尽管我们在过去遇到过由恶意软件建立的自动化的垃圾邮件网络,现在这个却是最复杂的之一。它的复杂度和规模甚至已经不亚于某些商业软件。显然垃圾制造者在它的架构上下了大工夫以维持他们的收入水平。”
Stewart在他的分析中还发现,SpamThru正被用于操纵基于垃圾邮件的炒股诈骗(pump-and-dump stock scheme)。
(译者注:炒股诈骗是指用户收到的邮件等信息中催促读者尽快购买某股票。邮件发出者声称其知道关于某些即将发生的事情的内幕,或者是声称其使用一种“不可能出错的”经济学和股票市场数据的组合来挑选股票。而事实上,这些信息发出者可能是公司内部人员或者某些被金钱操纵的人,他们只要在股价被他们造成的购买狂潮“抬高”(pumped)后卖出自己的股票就一定能获利。一旦这些骗子“抛售”(dumped)他们的股票并不再大肆宣传,股价通常会下降,于是投资者们的投入的金钱就无影无踪了。)
页:
[1]