1 月 6 日消息，安全公司 Fortinet FortiGuard Labs 近日發(fā)布報告，發(fā)現(xiàn)了名為 Bandook 的遠程訪問變種木馬，主要針對 Windows 設備。

報道稱該木馬最早可追溯到 2007 年，當時被描述為“具有多種功能的成品惡意軟件”，其中一項功能是讓操作員遠程訪問受感染的終端。

而本次曝光的最新版本通過釣魚郵件發(fā)布的，攻擊者發(fā)送的是惡意 PDF 文件，其中嵌入了一個指向受密碼保護的 .7z 壓縮文件的鏈接。

安全研究員 Pei Han Liao 解釋說：“受害者用 PDF 文件中的密碼提取惡意軟件后，惡意軟件會將其有效載荷注入 msinfo32.exe”。

Msinfo32 是一個合法的 windows 二進制文件，任務是收集系統(tǒng)信息。它通常用于診斷不同的計算機問題。

Bandook 會更改 Windows 注冊表，確保始終在后臺運行，然后向其命令與控制（C2）服務器發(fā)出進一步指令，IT之家附上 Bandook 攻擊流程圖如下：

這些行為大致可分為文件操作、注冊表操作、下載、信息竊取、文件執(zhí)行、調(diào)用 C2 中 DLL 函數(shù)、控制受害者的計算機、卸載惡意軟件等。

【來源： IT之家】