通常情況下惡意軟件作者都會極力避免與安全軟件打交道,避免惡意軟件被發現或者是自己個人信息被順藤摸瓜。
但是也總有些不信邪的惡意軟件開發者想要與安全軟件正面懟,至於正面懟的原因自然是想不被安全軟件再查殺。
例如近期360核心安全團隊就發現有惡意軟件開發者試圖將惡意軟件提交到軟件商店再通過正規渠道避免被檢測。
專門申請正規的數字簽名:
這個名為單據打印系統的惡意軟件主要目標是商業用戶,其目的很有可能是竊取企業信息或者是對企業進行勒索。
單據打印系統這款軟件本身具有單據打印的正常功能,用戶下載安裝後可以正常使用但木馬也在背後悄悄運行著。
為達到傳播效果其背後的開發者還利用某公司申請正規的數字簽名,試圖利用正規的簽名來躲避惡意軟件的查殺。
能夠如此大費周章其目的也絕對不簡單,竊取企業信息或對企業勒索獲得的收益自然也要比感染普通用戶收益多。
軟件運行時的截圖:真的可以打印...
試圖提交到軟件商店進行過白:
與普通惡意軟件相比這款惡意軟件的開發者也算是作死典範,這名開發者試圖將惡意軟件提交到360 的軟件商店。
對於開發者來說如果成功提交到商店意味著獲得更廣闊的傳播空間,依靠軟件商店向商業用戶投毒效果也會更好。
同時提交軟件商店後也可以進行過白即進入到查殺白名單,在用戶安裝後被殺毒軟件查殺和攔截的概率也會降低。
據360團隊表示此惡意開發者在提交審核時還多次通過電話和郵件進行催促,強調自己是正規軟件希望能夠過審。
正常的功能下是遠程控制後門程序:
然而這個強調自己是正規軟件的單據打印系統雖然安裝後具有正常的表單打印功能,但是裡面也潛藏著遠控後門。
這個遠程控制後門程序具有多種功能,例如文件管理、鍵盤記錄、屏幕控制、語音監聽、下載執行、系統管理等。
也就是說用戶如果不慎感染此木馬則自己面前的電腦實際會被攻擊者完全控制,甚至開啟麥克風監聽用戶的談話。
不論電腦上保存什麼樣的資料攻擊者均可隨時遠程進行查看,也可以加載更多木馬程序用來執行更多的惡意操作。
木馬作者使用的遠程控制服務端:(虛擬機測試圖)
作死的結果就是被徹底扒皮:
敢於正面懟的結果就是要想好自己會面臨的下場,例如這個單據打印系統的惡意軟件開發者就已經被完整的扒皮。
據分析該開發者活躍的城市主要有江蘇無錫和四川南充,而惡意軟件附帶簽名的公司名在工商系統中也可以查到。
但註冊的公司法定代表人倒不是木馬作者本人,通過手機號碼以及QQ號碼溯源後確定真正木馬作者叫做李某倫。
而這個李某倫此前因為發佈帶後門程序的迅雷破解版傳播網銀木馬已經被關注到,到現在算是已經被徹底扒皮了。
商貿公司與正規數字簽名:
數字簽名是企業避免軟件發佈後遭到篡改的有效方式,同時數字簽名也被視為是企業認證因此有些殺毒默認放行。
但看似重要的簽名近年遭到利用的例子越來越多,以本文中的**商貿有限公司為例,該公司很可能是信息洩露或冒名申請。
同時有些證書籤發商沒有履行嚴格審核機制讓攻擊者有機可乘,例如去年方正阿帕比公司就被冒名申請數字證書。
攻擊者偽造方正阿帕比企業信息成功獲得數字證書後用於簽名木馬盜竊用戶Steam賬戶,這種情況也會越來越多。
在此也提醒廣大網友在驗證軟件真偽時也不能光看數字簽名,通過軟件官網或正規渠道下載才能儘可能避免中招。
關注藍點網頭條號不迷路,Windows 10、科技資訊、軟件工具、技術教程,盡在藍點網。藍點網,給你感興趣的內容!感謝打賞支持!
閱讀更多 藍點網 的文章
