病毒开发者利用新技术可以躲避绝大多数安全软件拦截
思科旗下的安全实验室最近发现某个新病毒样本,该病毒主要利用Microsoft Word 已知安全漏洞展开攻击。
Microsoft Word 此前被发现存在多个严重级的安全漏洞,不过微软公司早已发布更新对上述漏洞进行封堵。
但毫无疑问总是会有些用户没有安装更新导致漏洞仍然存在,这恰恰就会成为黑客展开攻击的最关键的步骤。
58个安全软件只有两个成功检测出来:
研究人员使用诸多安全软件进行检测时只有韩国的AhnLab以及捷克的Zoner Antivirus成功将病毒检测拦截。
其他安全软件都没有检测到这个病毒样本存在任何异常,这也是引起研究人员们关注这个病毒最重要的原因。
因为该病毒使用更具有创造力的技术来加载多个后门程序,这种加载过程可以绕过安全软件的检测和拦截等。
同时使用多个漏洞绕过安全检测:
该病毒主要利用Microsoft Word的CVE-2017-0199和CVE-2017-11882两个已知安全漏洞来加载恶意软件。
最初携带病毒的文档主要通过电子邮件或网络进行传播,若用户下载并打开该文档就会触发病毒并利用漏洞。
关键的恶意模块使用OLE 嵌入式对象链接来控制定义的内容,这些包含大量字符的内容通常无法被RTF识别。
而RTF 写字板的解析引擎会忽略掉它们不认识的内容,结果就是这些自定义字符完美利用漏洞成功加载后门。
加载多个后门程序监视键盘输入记录、窃取各种账号密码:
值得注意的是这个病毒并没有使用单一的后门模块,而是拆分各个后门模块用于实现不同的受害者监视功能。
例如键盘记录模块主要会收集用户的所有输入记录并上传,信息窃取模块则是窃取账号密码及数字货币密钥。
最后还会加载个蠕虫病毒让受害者的计算机变成僵尸网络的成员,三个后门模块均功能功能不同、分工明确。
如果其中某个模块被杀毒软件查杀出来也没关系,依靠另外模块依然还可以再次植入新的后门模块完成工作。