近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一 種名為 Moker 的惡意代碼。該家族至少?gòu)? 2012 年開始流行，現(xiàn)在通過漏洞利用工具 包 Rig-v EK 進(jìn)行傳播，包括惡意廣告行 為以及掛馬網(wǎng)站。

     惡意代碼首先將自身注入 svchost. exe，然后連接 C&C 服務(wù)器，其使用加密 的通信方式，典型的請(qǐng)求格式為： .php?img=， 服 務(wù) 器 使 用 加密內(nèi)容響應(yīng)，然后它會(huì)將自身注入到其 他應(yīng)用程序并發(fā)送進(jìn)一步的請(qǐng)求，包括受 感染機(jī)器的數(shù)據(jù)。Moker 通過在注冊(cè)表中 添加 Run 鍵來(lái)實(shí)現(xiàn)持久性，它將真正的可 執(zhí)行文件隱藏在合法的 Microsoft 應(yīng)用程序 Rundll32.exe 之后。微軟工具套件中的 autoruns 工具在默認(rèn)情況下也不顯示這樣 的注冊(cè)表鍵。Moker 載荷會(huì)釋放在用戶目 錄下的 tester 文件夾中，與原樣本相比， 刪除了一些加密信息，而這個(gè)信息會(huì)保留 在注冊(cè)表中。樣本的執(zhí)行分二個(gè)階段，第 一個(gè)階段解密自身，下載執(zhí)行主要功能的 惡意 DLL，第二階段將該 DLL 注入應(yīng)用程 序。DLL 模塊負(fù)責(zé)惡意代碼的所有惡意操 作，它還主動(dòng)與 C&C 進(jìn)行通信。該 DLL 提供典型 RAT 的各種功能，它使用了非 常簡(jiǎn)單的混淆技術(shù)，多數(shù)字符串與 API 調(diào) 用并不會(huì)被進(jìn)行混淆處理。它可以執(zhí)行某 些命令或創(chuàng)建并保存屏幕截圖，還可以使 攻擊者通過遠(yuǎn)程桌面訪問受害者計(jì)算機(jī)。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者，要 提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí) 進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載 非正版的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī) 等。收發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠， 更加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址， 不要輕易下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò) 異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng) 成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。 同時(shí)也要做好文件的備份，以防止勒索軟 件加密重要文件后無(wú)法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類 惡意代碼的檢出。