病毒开发者利用新技术可以躲避绝大多数安全软件拦截

思科旗下的安全实验室最近发现某个新病毒样本,该病毒主要利用Microsoft Word 已知安全漏洞展开攻击。

Microsoft Word 此前被发现存在多个严重级的安全漏洞,不过微软公司早已发布更新对上述漏洞进行封堵。

但毫无疑问总是会有些用户没有安装更新导致漏洞仍然存在,这恰恰就会成为黑客展开攻击的最关键的步骤。

病毒开发者利用新技术可以躲避绝大多数安全软件拦截

58个安全软件只有两个成功检测出来:

研究人员使用诸多安全软件进行检测时只有韩国的AhnLab以及捷克的Zoner Antivirus成功将病毒检测拦截。

其他安全软件都没有检测到这个病毒样本存在任何异常,这也是引起研究人员们关注这个病毒最重要的原因。

因为该病毒使用更具有创造力的技术来加载多个后门程序,这种加载过程可以绕过安全软件的检测和拦截等。

同时使用多个漏洞绕过安全检测:

该病毒主要利用Microsoft Word的CVE-2017-0199和CVE-2017-11882两个已知安全漏洞来加载恶意软件。

最初携带病毒的文档主要通过电子邮件或网络进行传播,若用户下载并打开该文档就会触发病毒并利用漏洞。

关键的恶意模块使用OLE 嵌入式对象链接来控制定义的内容,这些包含大量字符的内容通常无法被RTF识别。

而RTF 写字板的解析引擎会忽略掉它们不认识的内容,结果就是这些自定义字符完美利用漏洞成功加载后门。

加载多个后门程序监视键盘输入记录、窃取各种账号密码:

值得注意的是这个病毒并没有使用单一的后门模块,而是拆分各个后门模块用于实现不同的受害者监视功能。

例如键盘记录模块主要会收集用户的所有输入记录并上传,信息窃取模块则是窃取账号密码及数字货币密钥。

最后还会加载个蠕虫病毒让受害者的计算机变成僵尸网络的成员,三个后门模块均功能功能不同、分工明确。

如果其中某个模块被杀毒软件查杀出来也没关系,依靠另外模块依然还可以再次植入新的后门模块完成工作。

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

8 条评论,访客:8 条,站长:0 条
  1. 三石
    三石发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    这个轻量版 做的太好了 速度快响应快 比好多专业网站的微信小程序快多了

  2. omit
    omit发布于: 
    Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

    为了换个头像之前的账号不用了,来报个到

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

      额 其实邮箱相同就可以

      • omit
        omit发布于: 
        Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

        之前的邮箱账号想不用了,蓝点网又不能换邮箱,干脆就重新注册了一个

  3. micky
    micky发布于: 
    Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

    可以知道这58软件都是什么吗?火绒都没有进行拦截吗?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

      没有 他们测试的一般都是国外软件

      • 0__0
        0__0发布于: 
        Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

        鸭子哥有样本吗?

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

          这个倒是没有 思科没有提供

发表评论