黑客使用.chm附件对毫无防备的用户执行恶意代码。 一个新的垃圾邮件通过.chm 附件恶意袭击了数百邮箱,来传播一个无耻的CryptoWall勒索软件, 这个恶意软件由Bitdefender Labs发现。 有趣的是,黑客已经采取一种简洁的“时尚”。但是是一个非常有效的技巧,在受害者的机器上自动执行恶意软件,并加密软件的内容——恶意的.chm附件。 .Chm是HTML文件格式的扩展, 一种用于提供用户手册和软件应用程序的文件。HTML 文件是压缩文件,作为一个二进制文件传递给.CHM扩展。这个格式为压缩的HTML文件,图像和JavaScript文件,以及一个超链接的目录,索引和全文检索。 为什么帮助文件很危险? 这些 .chm文件是高级互动和运行的一系列技术, 包括JavaScript,用户只需打开.CHM文件,它就可以重定向到一个外部链接。一旦这个文件被访问,攻击者利用.chm文件自动运行恶意代码。它看起来非常完美:非常少量的用户交互,是其感染的机会更大。 伪造来自用户所在域的传真报告或电子邮件,使目标员工相信这些不同来源的邮件,进而使攻击者渗透公司到内网。 一旦该.chm内容被访问,恶意软件将从http://*********/putty.exe位置下载,并保存为%temp%\natmasla2.exe,然后通过该进程中的一个命令提示符窗口执行该恶意软件。 CryptoWall是 CryptoLocker的高级版本, 一个文件加密勒索软件,以伪装自己的病毒代码为一个无害的应用或文件著称,他的恶意代码可以加密受影响电脑的文件,为了勒索钱财来换取解密密钥。 勒索软件是一个非常可怕的恶意软件,尤其是对证券公司来说,公司要被迫创造出更复杂的算法来确保内部数据的私密性。 电子邮件风波在2月18号爆发,针对几百个目标用户,垃圾邮件服务器似乎是在越南,印度,澳大利亚,美国,罗马尼亚,西班牙。在我们分析收件人的域名后,发现它似乎像是在袭击世界各地的用户,包括美国,欧洲,和澳大利亚。 Bitdefender(比特梵德/BitDefender(简称BD),是来自罗马尼亚的安全软件品牌。) 检测这个恶意软件为 Trojan.GenericKD.2170937. 如何防止感染CryptoWall BitDefender的研究人员建立了一个防止cryptowall感染的提示列表,包括建立外部实体的数据备份等安全建议, Bitdefender还开发了CryptoWall Immunizer, 一个允许用户在锁定或加密任何文件之前取消而的工具。Bitdefender建议用户继续保持他们的防病毒解决方案,并可以使用这个工具作为一个额外的保护。 这篇文章基于的垃圾邮件样本由 Bitdefender Spam 研究员Adrian Miron提供,技术信息由 Bitdefender 病毒分析师 Doina Cosovan 和 Octavian Minea提供。 |