KOOBFACE僵尸網(wǎng)絡(luò)的出名是因為它利用了流行的社交網(wǎng)站作為傳播介質(zhì)���,并且將這些平臺濫用到惡意用途中上����。趨勢科技最近觀察到KOOBFACE不再積極地通過社交網(wǎng)絡(luò)進行傳播�����,而是轉(zhuǎn)為通過BT等P2P網(wǎng)絡(luò)分享木馬化的應(yīng)用程序文件�����。
在研究過程中,我們找到一個KOOBFACE所使用的加載器程序�。這個組件被用來下載僵尸網(wǎng)絡(luò)的其他組件。它可以通過木馬化的BT文件進入受害者的系統(tǒng)�����,或是經(jīng)由一個被我們確定為WORM_KOOBFACE.AV的新KOOBFACE組件:tor2.exe�����。
WORM_KOOBFACE.AV在運行后會連接C&C服務(wù)器���,并索取BT種子���。收到之后,會執(zhí)行一個放在文件資源部分的BT客戶端��。這個BT客戶端是版本號為2.2.1的uTorrent����,可以在不讓用戶覺察的情況下在暗地里進行下載。
這個BT客戶端會下載之前接收的BT種子內(nèi)所包含的文件�����。有個種子樣本內(nèi)包含四個文件,應(yīng)該是被改造過的Adobe Lightroom安裝程序:
這些文件有著不同的功能:
setup.exe解開并執(zhí)行setup3.cab��,然后執(zhí)行setup2.cab�。
setup1.cab用來下載其他組件。
setup2.cab是真的Adobe Lightroom安裝程序�����。
setup3.cab解開并執(zhí)行setup1.cab����。
這些文件(setup.exe��、setup1.cab和setup3.cab)都被檢測為WORM_KOOBFACE.AV�。
請注意,受WORM_KOOBFACE.AV感染的系統(tǒng)上還會執(zhí)行一個隱藏的BT客戶端程序��,這會使得電腦成為P2P網(wǎng)路中分享惡意文件的一個節(jié)點���。有越多電腦為特定種子做種��,也會讓越多的用戶有機會下載�����,因為這樣可以獲得更快的下載速度��。
KOOBFACE木馬化的種子出現(xiàn)在熱門BT網(wǎng)站
不知情的用戶在尋找熱門的盜版軟體(例如游戲��、工具軟件或辦公軟件)時�����,就會收到這份“驚喜”����,因為這些木馬化應(yīng)用程序種子已經(jīng)出現(xiàn)在熱門BT網(wǎng)站上。以下是部分觀察到的KOOBFACE木馬化應(yīng)用程序種子名稱清單:
搜索這些種子時��,就會發(fā)現(xiàn)它們出現(xiàn)在很多BT網(wǎng)站中�����。下圖顯示了一個范例�,69_Lightroom.torrent出現(xiàn)在BitSnoop BT網(wǎng)站。
通過多個組件和加密來躲避防毒軟件
另一個值得注意的地方是�����,它們使用了多個組件和加密技術(shù)���。使用多個組件��,以及對部分組件進行加密這種方法�,可以讓殭尸網(wǎng)絡(luò)的組件避免被BT網(wǎng)站上的防毒軟件檢測到。好幾個組件結(jié)合在一起就可以達到特定目的�����,也能讓分析時間更長�、更難以發(fā)現(xiàn)。而且如果只拿到其中一個組件��,也會讓分析者做出這不是惡意軟件的判斷���。因為分析者需要拿到其他組件才能看出這個惡意軟件的真正行為和目的。
從致力于通過社交網(wǎng)站進行傳播�����,演變到通過P2P網(wǎng)絡(luò)傳播�,這可能是因為被當成目標的社交網(wǎng)站努力防止被KOOBFACE殭尸所濫用導(dǎo)致的結(jié)果。盡管出現(xiàn)了這種變化��,用戶依然需要注意�����,KOOBFACE惡黨從沒停止過想要感染用戶的系統(tǒng),他們只是在尋找其他可行方法���。
注釋:作者Jonell Baltazar現(xiàn)為趨勢科技資深威脅研究員��。
