安天捕風(fēng)團(tuán)隊(duì)捕獲到一批 LokiBot 樣 本。經(jīng)過深入分析，得出了原始 LokiBot 樣本已被修改的結(jié)論。目前，發(fā)現(xiàn)此變種 病毒被售賣于黑市，并且在多個(gè)惡意活動(dòng) 中被利用。LokiBot 像許多惡意軟件一樣， 通過惡意電子郵件進(jìn)行分發(fā)。這些釣魚郵 件沒有固定的攻擊模式，但它們的行為方 式類似，均是誘使受害者下載壓縮包文件 或者 MS office 文件的惡意樣本附件，最 終從附件中提取、利用宏命令或漏洞下載 LokiBot 樣本。

     LokiBot 的攻擊流程圖是線性的，且 攻擊目的在于信息竊取。一旦它進(jìn)入受感 染的設(shè)備并安裝成功，就會(huì)在受感染設(shè)備 中收集用戶已安裝的各個(gè)應(yīng)用中的憑證信 息。LokiBot 對(duì)于不同的應(yīng)用模塊使用不 同的入侵方式，當(dāng)其收集齊所有所需材料 后，會(huì)通過 HTTP 協(xié)議將它們壓縮在數(shù)據(jù)包中發(fā)送給 C ＆ C 服務(wù)器。

     LokiBot 在受感染的設(shè)備中擁有永久 權(quán)限，此權(quán)限可以使攻擊者創(chuàng)建、修改注 冊(cè)表項(xiàng)，并且也可以將自身以指定的命名 形式復(fù)制到 %APPDATA% 下的指定文件 夾中，同時(shí)創(chuàng)建一個(gè)用于解析 C ＆ C 服務(wù) 器響應(yīng)的新線程以等待新命令。每臺(tái)被感 染的設(shè)備都有唯一的標(biāo)識(shí)符（bot ID）， 可作為互斥鎖使用（互斥鎖的作用為避免 重復(fù)感染機(jī)器，提高感染效率）。

      在分析的大多數(shù)變種樣本中都有 5 個(gè) 遠(yuǎn)控 url，這些 url 會(huì)接收被竊取的數(shù)據(jù) 信息，并且會(huì)向被感染設(shè)備中的惡意代 碼樣本發(fā)去新的指令，其中 4 個(gè) url 用了 3 重 DES 算法進(jìn)行保護(hù)，第 5 個(gè) url 僅使 用了簡(jiǎn)單的 XOR 保護(hù)。然而 LokiBot 使 用 CryptDecrypt Windows API 函數(shù)解密受 3DES 算法保護(hù)的數(shù)據(jù)時(shí)，受 3DES 加密保護(hù)的解密網(wǎng)址被覆蓋，只返回受 XOR 保 護(hù) 的 url 的 字 符 串， 實(shí) 際 上 LokiBot 在 調(diào) 用 CryptDecrypt 函數(shù)之后跳轉(zhuǎn)到一個(gè)名為 “x”部分的開頭。該部分具有可寫權(quán)限， 受 XOR 保護(hù)的 url 和負(fù)責(zé)解密該 url 的代 碼均位于“x”部分，這種行為就像功能指 令的跳轉(zhuǎn)一樣，像是有第三個(gè)人手動(dòng)修改 了代碼，使 url 實(shí)現(xiàn)自定義遠(yuǎn)控修改。

      目前，最新且分發(fā)最多的樣本是 LokiBot v.1.8 的 變 種 版 本。 變 種 版 本 LokiBot 的代碼相比 LokiBot 的原始代碼， 添加了“x”部分，實(shí)現(xiàn)了使用 XOR 保護(hù) 的 url 用做控制面板網(wǎng)址的方法，增強(qiáng)了 真實(shí) url 地址的隱蔽性。安天提醒廣大互 聯(lián)網(wǎng)用戶不要輕易打開未知的 URL 和郵 件，設(shè)備需安裝殺毒、防毒軟件并及時(shí)升 級(jí)系統(tǒng)和修補(bǔ)設(shè)備漏洞。