黑客利用卡巴斯基和微软安全软件安装窥探木马

发表时间：2020-05-21 08:35:23 作者： 来源： 浏览：次

在上一篇文章中，小编为您详细介绍了关于《 iOS9.1动画消失怎么办 iOS9.1动画效果没了解决办法》相关知识。本篇中小编将再为您讲解标题黑客利用卡巴斯基和微软安全软件安装窥探木马。

近日，PaloAltoNetworks的研究小组发现了一个新的木马（窥探木马），它可以利用电脑的安全软件荷载DLL，然后将其安装在电脑上。也许安装在你的电脑上的安全软件已经不那么安全了。该研究小组将他们新发现的木马称为Bookworm。

PaloAltoNetworks声称Bookworm与PlugXRAT有一些很明显的联系。目前，这个木马被观察到活动于一个高持续性威胁(APT)组,其主要活跃于泰国。从前景来看，Bookworm是最新趋势的一个扩展，也就是它会使用模块化的恶意软件。

模块化的恶意软件就是在恶意软件上配备自行安装的能力，并且由于它是多层运行的，识别它们变得非常困难。远程指挥和控制服务器通常被用于确定需要上传什么内容，它通常会根据感染目标设备的概要进行分析。 Bookworm木马拥有简单的内部架构：一种XOR算法被用于加密各种恶意的DLL，然后一个自述文件将它们绑在一起。

当一些DLL被写入自解压RAR存档文件后，可执行文件会跟自述文件放在一起。然后这个RAR存档文件会跟应用程序压缩在一起，创建出一个被称为智能安装程序制造者的安装包。这个应用程序会创建一个安装程序，在被黑客发布后会触发一个自解压式硬件，并且卸载受感染的自述文件，DLL以及EXE。

一旦完成了安装的工作，EXE会自动启动，并从微软恶意软件防护(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或两者中寻找可执行文件。在定位时，EXE会边荷载Dll到这些安全产品中，并将自己伪装成微软应用程序，然后利用这些安全应用的权限来进行安装。现在，Bookworm会提取和加载自述文件中的其他模块，它还开始与指挥和控制服务器进行通信,通过受感染的设备将数据发送到服务器。

但是研究者们没有提到Bookworm加载或下载时的模块类型,因为他们的研究受到了阻碍——这个木马在与C&C服务器通信时使用了四种不同的加密算法。这些算法包括RC4、AES、XOR和LZO。。

编后语：关于《黑客利用卡巴斯基和微软安全软件安装窥探木马》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。下一篇内容是有关《逆战转生任务怎么做逆战快速转生技巧攻略》，感兴趣的同学可以点击进去看看。

资源转载网络，如有侵权联系删除。