安装一个木马,再获得三个

网络骗子经常使用Downloader 木马来彻底感染系统,以提取可能对他们有价值的任何东西。

木马.Badlib是属于该特定类别的特别有效的恶意软件,可以有效地充当恶意软件分发网络。

首次安装Badlib并检测到Internet连接时,它会尝试连接到C&C服务器以便从中接收命令。它在许多硬编码域上搜索它,如果没有’如果找不到它,它将继续检查默认列表中的几个IP地址。

一旦C&联系C后,它指示木马程序在哪里下载其他恶意软件。响应包括必须下载的文件数量及其数字签名,以确保下载正确的文件。

根据 赛门铁克 researchers, Badlib is currently downloading three distinct 木马s: 特洛伊木马, 木马.Badminer, and Infostealer.Badface.

特洛伊木马’我们的目标是在受感染的计算机上禁用AV解决方案,并向用户隐藏该事实。一旦检测到并识别出正在运行的AV软件,它就会修改Windows,以便在下次启动时启动进入安全模式。

然后,它将删除与它可以找到的该AV相关的所有文件和文件夹,但不会在从主可执行文件中提取图标之前删除该文件,该文件将继续显示在系统托盘中,以保留合法AV的幻想。仍在运行。

接下来,它将继续禁用Windows防火墙和Microsoft安全中心发出的警告,并以偶尔显示有关模仿(现已禁用)合法AV的感染的假警告(英语或俄语)结束。

木马.Badminer旨在利用受感染计算机的功能’的GPU开采比特币。

最后是Infostealer.Badface’我们的目标是为许多流行的社交网络收集登录凭据。通过创建本地Web服务器来实现此目的,通过该服务器重定向发往这些站点的流量。

记录登录凭据后,用户将被重定向到这些站点的合法登录页面。而且,您可能已经知道,所收集的凭据在地下在线市场上出售,供其他犯罪分子劫持社交网络帐户,以将其用于各种创收目的。

“考虑到所使用的域,特洛伊木马的双语性质,信息盗窃活动的目标以及在命令和控制流量中指定的计算机的位置,似乎表明该恶意软件起源于俄罗斯或东欧,”推测研究人员,并指出Trojan.Badlib下载的恶意软件可能会随着时间的流逝而发生变化。

分享这个