1 月 6 日消息，安全公司 Fortinet FortiGuard Labs 近日發(fā)布報(bào)告，發(fā)現(xiàn)了名為 Bandook 的遠(yuǎn)程訪問變種木馬，主要針對(duì) Windows 設(shè)備。

報(bào)道稱該木馬最早可追溯到 2007 年，當(dāng)時(shí)被描述為“具有多種功能的成品惡意軟件”，其中一項(xiàng)功能是讓操作員遠(yuǎn)程訪問受感染的終端。

而本次曝光的最新版本通過釣魚郵件發(fā)布的，攻擊者發(fā)送的是惡意 PDF 文件，其中嵌入了一個(gè)指向受密碼保護(hù)的 .7z 壓縮文件的鏈接。

安全研究員 Pei Han Liao 解釋說：“受害者用 PDF 文件中的密碼提取惡意軟件后，惡意軟件會(huì)將其有效載荷注入 msinfo32.exe”。

Msinfo32 是一個(gè)合法的 windows 二進(jìn)制文件，任務(wù)是收集系統(tǒng)信息。它通常用于診斷不同的計(jì)算機(jī)問題。

Bandook 會(huì)更改 Windows 注冊(cè)表，確保始終在后臺(tái)運(yùn)行，然后向其命令與控制（C2）服務(wù)器發(fā)出進(jìn)一步指令，IT之家附上 Bandook 攻擊流程圖如下：

這些行為大致可分為文件操作、注冊(cè)表操作、下載、信息竊取、文件執(zhí)行、調(diào)用 C2 中 DLL 函數(shù)、控制受害者的計(jì)算機(jī)、卸載惡意軟件等。

【來源： IT之家】