记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

杀毒软件无法检测最新的Adwind木马

2016-07-11 21:30

杀毒软件无法检测最新的Adwind木马

2016-07-11 14:16:46 作者:恣意凌风
阅读:1475次 点赞(0) 收藏

分享到:

http://p0.qhimg.com/t01d914e20f770916ec.jpg

丹麦的一家网络安全公司Heimdal近期检测到一系列带有恶意附件的垃圾邮件,附件中是adwind木马(远程访问木马)的各种版本。

这场恶意攻击发生在上周末,Heimdal安全公司的专家认为攻击者的目标是丹麦的公司。

不考虑其初始状态,所有的垃圾软件都是用英文写的,所以只要攻击者在控制面板的某个设置里点击一个按钮,这些垃圾邮件就可以传播到其他国家。

通过java文件附件进行感染

Heimdal说所有的垃圾邮件都会带上一个文件名为Doc-[Number].jar的附件。使用VirusTotal进行病毒扫描之后的结果是无恶意病毒,但其实附件当中带有Adwind远程木马,而这一木马系列已经存在四年了。

Adwind木马第一次出现大众眼前是在2012年1月,当时的名字是Frutas,之后经历过几次更名,2014年2月改名为Unrecom,2014年10月改名为AlienSpy,最近一次改名是在2015年6月,改为JSocket。不过绝大多数的安全公司还是将其称为Adwind,因为它叫这个名字的时候造成的损失最大。

当局设法阻止了攻击者的操作之后,在2016年2月发表了一份Kaspersky报告,报告中说这款恶意软件背后的犯罪团伙将其工具箱卖给了1800个罪犯,最终导致了超过44.3万受害者的感染。

攻击者的目标是敏感的商业数据

攻击者开发这款恶意软件的目的就是侵入丹麦公司的计算机。

Adwind远程木马会在受感染的系统中为攻击者打开大门,之后攻击者就可以接管设备,搜索敏感信息,然后再通过各种路径将这些信息窃取出来。

所有的受感染计算机也会被添加到一个全球僵尸网络中去,这样会方便其他攻击者向受害者发送垃圾邮件或者是发动DDoS攻击(如果他们想的话)。Heimdal团队在最近一次攻击活动中检测到了11个C&C服务器。

Heimdal的Andra Zaharia解释道,“这些在线攻击者似乎将注意力转向了更有针对性的攻击,这样他们就不需要使用更多的设备。这也意味着可以用更少的资源投入获得更大的回报。”

“避免大规模撒网式攻击也意味着他们被发现的概率更小。这就让他们有了更多的时间可以控制受感染系统,获得更多的数据。”

攻击活动依然活跃,已现新版本Adwind木马

Zaharia告诉Softpedia说,“警报中的所有域依然是活跃状态,也都参与了最新一次的攻击行动。这些恶意C&C服务器使用各种动态DNS服务器供应,也都还在向各方报告。”

她补充道,“攻击活动现在正进行到关键时期,所以我们建议各家公司应该集中资源主动采取各项安全措施。与此同时别忘了最重要的一个环节,那就是员工教育。”

她还说,“在这些攻击中发现的这个Adwind版本与之前发现的那个版本略有改进。它具有沙箱逃脱和各种反调试器检查功能。总而言之,这是一个新版本,但还没有自己的名字。”


本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://news.softpedia.com/news/new-adwind-rat-campaign-with-zero-av-detection-targets-businesses-in-denmark-505974.shtml

知识来源: bobao.360.cn/news/detail/3276.html

阅读:71404 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“杀毒软件无法检测最新的Adwind木马”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云