渣滓邮件僵尸收集运营商 Necurs 采纳新技术防止检测

时间: 2018-05-05 22:01:57 作者: 管理员

外媒克日新闻,环球最大的渣滓邮件僵尸收集运营商 Necurs 今朝正在应用一种新的回避技巧,其经由过程 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸收集自 2012 年以来不停存在,它由全球数百万台被沾染的电脑构成,今朝趋势科技察看到其歹意软件曾经获得改良,妄图可以或许胜利地战胜收集安全步伐。

  Necurs 新变种试图经由过程向用户发送一个包括紧缩文件的歹意电子邮件来躲开检测。该文件一旦被解紧缩,就会表现一个扩大名为 . url 的文件,.url 扩大名文件与 Windows 快捷方式文件相联系关系,该快捷方式文件会在浏览器中关上一个指向长途剧本文件运动的 URL。随后,该剧本会天生了一个名为 QuantLoader 的下载法式(这是一个通俗的歹意软件家属)来下载并履行终极的有用负载。

  曩昔,Necurs的JavaScript下载器会下载终极的有用载荷。但在最新版本中,是经由过程长途剧本天生 QUANTLOADER  下载法式 (由趋势科技检测为 TROJ_QUANT) ,而后下载终极的有用负载,这是添加到 Necurs 的 沾染链上的另一层。

  QUANTLOADER 的应用可以或许是双重的:

  起首,它会在下载终极有用负载曩昔增长另一个下载阶段,以此来混杂并回避行动检测。

  其次,QUANTLOADER 本质上是耐久性的 , 它会删除本身的正本并创立一个主动运转注册表,以便在启动时履行。

  依据趋势科技的说法,为了找到其余有用的办法来诱骗受害者,而且打消针对它的反步伐,Necurs 现实上在赓续蜕变,比如说为了应用户加倍信任,进击经由过程 Internet 快捷方式具备 INI 文件格局的内容来伪形成文件夹图标。

  留意,除伪装成文件夹的图标以外,文件名还被制作成典型的文件夹称号,比方上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。