Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
今年二月,Microsoft惡意軟體移除工具(MSRT)加入三個新項目:Win32/Escad、Win32/Jinupd和Win32/NukeSped來協助保護客戶。
首先,惡意駭客藉由Jinupd等銷售點惡意軟體竊取敏感性資料如信用卡資訊。而Escad和NukeSped的後門功能也被惡意軟體作為攻擊目標。
以上所述三項惡意軟體皆對使用者造成資安上的危害,然本篇將會多將重點放在Escad和NukeSped進行討論。
MMPC(Microsoft Malware Protection Center)藉由分析二進位資料,發現了Escad的許多惡意攻擊功能。它可以在受到攻擊的電腦中執行大量的常式,用來蒐集敏感的資料,其中包括:
- 設置為代理伺服器
- 複製檔案,並將它們發送到遠端的IP位址
- 將檔案遠端下載到受感染的系統
- 枚舉(enumerate)任何資料夾中的檔案
- 收集機器中的資訊,如電腦名稱、TCP連接和網路介面卡的資訊
- 修改防火牆設定
- 修改IP設定
以上常式(routine)將被感染的系統開放給其他遠端攻擊— 包括下載和運行其他惡意軟體。
Escad會將檔案偽裝成安裝服務,在系統啟動時運行。而下列便為已使用此手法進行攻擊的案例:
- ansi.nls
- dayipmr.tbl
- netmonsvc.dll
- pmsconfig.msi
- pmslog.msi
- rdmgr.dll
- remoteevtmanager.dll
- tmscompg.msi
因此,若任何這些檔案的存在都可能意味著受到Escad感染。
圖 1 和圖 2 顯示Escad 惡意軟體在最近幾個月的比例及其分佈特徵。
圖 1: 2014年 12 月以來Escad 檢測結果
圖 2: 感染Escad 的國家
最近,MMPC檢測到NukeSped的變種在受到Escad的針對性攻擊過程中被安裝。NukeSped 可能以下列程式名稱攻擊系統:
- comon32.exe
- diskpartmg16.exe
- dpnsvr16.exe
- expandmn32.exe
- hwrcompsvc64.exe
- mobsynclm64.exe
- rdpshellex32.exe
- recdiscm32.exe
- taskchg16.exe
- taskhosts64.exe
另外,MMPC檢測到Trojan:Win32/NukeSped.A!dha自我安裝為名叫WinsSchMgmt的服務軟體,它也會安裝一個txt檔案,而該檔案中包含可能受到影響的IP 位址清單。NukeSped將連接到駭客端,從而具有執行以下任一操作的能力:
- 檢查互聯網連接
- 下載並運行檔案 (其中包括更新或其他惡意軟體)
- 啟用/禁用這些受到攻擊的電腦中資料夾的完全存取權限
- 系統根目錄
- Syswow64
- System32
- 報告管理員新的感染
- 接收設定資料
- 接收惡意駭客的指令
- 搜尋PC 的位置
- 上傳PC的資訊
NukeSped也會安裝其他檔案如igfxtrayex.exe,而MMPC檢測到名稱為Trojan:Win32/NukeSped.B!dha的變體也有可能被命名為brmgmtsvc。
NukeSped在目前目錄中植入檔案名稱taskhostxx.exe的複本-其中xx可以是任何字母。
它不僅探勘受感染系統的體系結構,更會安裝32或64位元的協力廠商驅動程式在 %temp% \usbdrv3.sys中。惡意軟體用此合法的檔案修改磁區的主引導記錄,阻止機器啟動(booting)。在被感染的系統中,NukeSped同時也會禁用下列服務:
- MSExchangeIS
- MSDEPSVC
- SSIS
- SSRS
- Termservice
- W3SVC
- WMServer
Trojan:Win32/NukeSped.B!dha也在預設的windows 目錄中植入檔案iissvr.exe。MMPC檢測到此檔案名稱為Trojan:Win32/NukeSped.C!dha。這種由駭客發起的變體具有嵌入的圖像音效檔案,它可經由HTML頁面的滾動通知使用者系統上的檔案已被破壞的消息。
圖 3: 資料來源 Trojan:Win32/NukeSped.C!dha
為防範以上所述惡意軟體攻擊,建議使用者安裝微軟安全產品如Microsoft Security Essential Download,其具有檢測Escad、Jinupd和NukeSped的能力。也建議用戶將安全軟體更新到最新版本,並定期全面掃描個人電腦。另外,加入Microsoft Active Protection Service Community(MAPS)也可以協助您充分使用微軟雲保護服務的微軟安全產品。最後,定期備份檔案也可以協助防止惡意軟體攻擊和資料遺失。
Comments
- Anonymous
March 11, 2015
The comment has been removed