我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:BG视讯 > 单向通信 >

常规银行木马只单向通信SocketPlayer感染路径

归档日期:06-06       文本归类:单向通信      文章编辑:爱尚语录

  6月12日讯 据安全公司 G Data 近期一份报告称,最近发现的远程访问木马 SocketPlayer 正在使用一个专门的程序库 socket.io,操作者可以此与被感染的设备进行交互,而不需要“信标” 消息。

  SocketPlayer 后门与大多数使用典型单向通信系统的银行木马、后门及键盘记录程序不同,它通过使用 socket.io 库,可在应用程序之间实现实时的双向通信,根据这个特性,恶意软件处理程序不再需要等待被感染的设备启动通信,攻击者可以自行联系被感染的计算机。

  据称,后门 SocketPlayer 一旦在被入侵的机器上安装成功,便能接收操作者的命令并执行各种操作,如嗅探驱动器、屏幕截图、抓取和运行代码等。研究人员还发现,SocketPlayer 还能够选择性采用其他功能,例如,作为键盘记录器,尽管在后门中没有实际的键盘记录功能。目前看似还没有过具体使用情况。

  后门 SocketPlayer 的感染路径始于 downloader 的沙盒系统检测,如果通过检测,downloader 会下载一个可执行文件并进行解密,然后使用 Invoke 方法在内存中运行该解密程序。

  被调用的程序会为宿主创建一个套接字连接(宿主为),同时还要创建一个可实现持久化的注册表键。接下来检查是否存在 Process Handler/ folder,如果没有,就需要创建一个。之后,还需创建一个值为“Handler”的自动启动键。

  此外,SocketPlayer 还会下载另一个可下载 SocketPlayer 的可执行文件,解密并在内存中运行。

  G Data 的安全研究员在研究过程中发现了 SocketPlayer 后门的两个变种:

  第一个变种是一个大约100kb的文件,用以充当可从网站上执行任意代码的 downloader;

  据 G Data 的技术报告称,SocketPlayer 的第一个变种的第一个样本已于3月28日首次提交给 VirusTotal(免费的可疑文件分析服务网站),并在3月31日提交了该变种的第二个样本。此外,SocketPlayer 的第二个变种也存在两个版本。

  安全研究人员注意到,SocketPlayer 的两个变种之间经历了一系列的变化,包括:

  报告显示,已知的恶意软件样本通过一个印度网站进行分发,但尚不清楚后门如何传播。但无论该网站是用于感染目的还是只是用于镜像,显然该恶意软件在很长一段时间内都未被注意到。

  电话邦全新推出的子品牌——“电线G商用即将全面在全国普及,设备及应用市场广泛

本文链接:http://janihorvat.com/danxiangtongxin/2.html