KOOBFACE僵尸網(wǎng)絡(luò)的出名是因?yàn)樗昧肆餍械纳缃痪W(wǎng)站作為傳播介質(zhì)�,并且將這些平臺濫用到惡意用途中上。趨勢科技最近觀察到KOOBFACE不再積極地通過社交網(wǎng)絡(luò)進(jìn)行傳播��,而是轉(zhuǎn)為通過BT等P2P網(wǎng)絡(luò)分享木馬化的應(yīng)用程序文件��。
在研究過程中�,我們找到一個(gè)KOOBFACE所使用的加載器程序。這個(gè)組件被用來下載僵尸網(wǎng)絡(luò)的其他組件��。它可以通過木馬化的BT文件進(jìn)入受害者的系統(tǒng),或是經(jīng)由一個(gè)被我們確定為WORM_KOOBFACE.AV的新KOOBFACE組件:tor2.exe����。
WORM_KOOBFACE.AV在運(yùn)行后會(huì)連接C&C服務(wù)器,并索取BT種子���。收到之后�,會(huì)執(zhí)行一個(gè)放在文件資源部分的BT客戶端���。這個(gè)BT客戶端是版本號為2.2.1的uTorrent����,可以在不讓用戶覺察的情況下在暗地里進(jìn)行下載�。
這個(gè)BT客戶端會(huì)下載之前接收的BT種子內(nèi)所包含的文件。有個(gè)種子樣本內(nèi)包含四個(gè)文件���,應(yīng)該是被改造過的Adobe Lightroom安裝程序:
這些文件有著不同的功能:
setup.exe解開并執(zhí)行setup3.cab���,然后執(zhí)行setup2.cab。
setup1.cab用來下載其他組件��。
setup2.cab是真的Adobe Lightroom安裝程序��。
setup3.cab解開并執(zhí)行setup1.cab���。
這些文件(setup.exe�����、setup1.cab和setup3.cab)都被檢測為WORM_KOOBFACE.AV���。
請注意,受WORM_KOOBFACE.AV感染的系統(tǒng)上還會(huì)執(zhí)行一個(gè)隱藏的BT客戶端程序�,這會(huì)使得電腦成為P2P網(wǎng)路中分享惡意文件的一個(gè)節(jié)點(diǎn)。有越多電腦為特定種子做種���,也會(huì)讓越多的用戶有機(jī)會(huì)下載��,因?yàn)檫@樣可以獲得更快的下載速度���。
KOOBFACE木馬化的種子出現(xiàn)在熱門BT網(wǎng)站
不知情的用戶在尋找熱門的盜版軟體(例如游戲、工具軟件或辦公軟件)時(shí)�,就會(huì)收到這份“驚喜”,因?yàn)檫@些木馬化應(yīng)用程序種子已經(jīng)出現(xiàn)在熱門BT網(wǎng)站上����。以下是部分觀察到的KOOBFACE木馬化應(yīng)用程序種子名稱清單:
搜索這些種子時(shí)����,就會(huì)發(fā)現(xiàn)它們出現(xiàn)在很多BT網(wǎng)站中�����。下圖顯示了一個(gè)范例����,69_Lightroom.torrent出現(xiàn)在BitSnoop BT網(wǎng)站。
通過多個(gè)組件和加密來躲避防毒軟件
另一個(gè)值得注意的地方是��,它們使用了多個(gè)組件和加密技術(shù)��。使用多個(gè)組件�����,以及對部分組件進(jìn)行加密這種方法�����,可以讓殭尸網(wǎng)絡(luò)的組件避免被BT網(wǎng)站上的防毒軟件檢測到���。好幾個(gè)組件結(jié)合在一起就可以達(dá)到特定目的����,也能讓分析時(shí)間更長�����、更難以發(fā)現(xiàn)�����。而且如果只拿到其中一個(gè)組件��,也會(huì)讓分析者做出這不是惡意軟件的判斷�。因?yàn)榉治稣咝枰玫狡渌M件才能看出這個(gè)惡意軟件的真正行為和目的。
從致力于通過社交網(wǎng)站進(jìn)行傳播���,演變到通過P2P網(wǎng)絡(luò)傳播���,這可能是因?yàn)楸划?dāng)成目標(biāo)的社交網(wǎng)站努力防止被KOOBFACE殭尸所濫用導(dǎo)致的結(jié)果。盡管出現(xiàn)了這種變化��,用戶依然需要注意���,KOOBFACE惡黨從沒停止過想要感染用戶的系統(tǒng)���,他們只是在尋找其他可行方法��。
注釋:作者Jonell Baltazar現(xiàn)為趨勢科技資深威脅研究員���。
