写在前面:
其实这种木马的利用和传播方式还是很老套的,除了作者在payload里面卖了个萌之外。 正文:
葡萄牙,比利时,印度,罗马,西班牙等众多国家的facebook用户,正遭到一种新型木马的攻击,这种木马会控制受害者的主机挖掘比特币。
Bitdefender 公司的安全专家声称,已经有大量的Facebook用户被这种木马所感染。Alexandra Gheorghe在他的blog里面写道:这种木马通过facebook中的私信来进行传播,私信中包含一个1IMAG00953.zip,其中有伪装成jpg文件的恶意文件。这个文件会通过预先设置好的Dropbox账号下载DLL文件,这些文件会链接C&C服务器,并返回一个shellcode。在这个shellcode的payload里面有一段这样的信息。
“Hello people.. but am not the f*****g zeus bot/skynet bot or whatever piece of s**t.. no fraud here.. only a bit of mining. Stop breaking my b***z.. 大概意思就是说,我就是挖挖矿,没有别的恶意功能,手下留情之类的。shellcode会引发第二个DLL的下载,同时开始挖矿流程。
但是Bitdefender 的安全专家发现了这个木马很多其他的恶意功能,而挖矿只是这些功能之中的一小部分,这个木马每过几个小时就会变换shellcode的内容,在受害主机上执行任何内容。 Facebook的用户,最好还是小心奇怪的私信内容,即便他是你的某个好友发送给你的。
随遇而安论坛