查看: 2947|回复: 1
收起左侧

[转帖] 能用密码自我保护的蠕虫程序

[复制链接]
Sammi888
发表于 2013-5-31 17:13:58 | 显示全部楼层 |阅读模式
作者:趋势科技

通常用户将多个文件压缩成单一文件,这主要是为了方便或是节省空间。然而趋势科技发现有个蠕虫程序会自我复制,并将自己加入受密码保护的压缩文件里。

趋势科技取得了一个蠕虫程序样本(被检测为 WORM_PIZZER.A),会利用特定的 WinRAR 命令行工具来传播(见下图)。一旦执行,会让 WORM_PIZZER.A 复制自己到压缩文件内,特别是 ZIP、RAR 和 RAR FX 文件。这个蠕虫程序不会从压缩文件中提取密码。上述命令行是正常指令,用户可以用它来将文件加入压缩文件内,只要系统内装有 WinRAR 即可。然而恶意软件开始滥用该功能将自己复制到压缩文件内。



图一、WinRAR 命令行

经过趋势科技的测试,这种蠕虫程序是被 WORM_SWYSINN.SM 从一特定网站下载而来。

这种方式让人想起出现在 2010 年的 WORM_PROLACO 变种,其中有个变种会将某些 EXE 文件和自己的复本压缩在一起。但 WORM_PIZZER.A 的有趣之处在于,它会巧妙地将自己复制进压缩文件内,就算是有密码保护的压缩文件也一样。当毫无戒心的用户解开这些压缩文件时,并不知道里面已经加入了蠕虫程序,所以可能会像普通文件一样运行这个恶意软件。



图二、WORM_PIZZER.A 复本(bot.exe)出现在压缩文件内

趋势科技已经可以检测并删除 WORM_PIZZER.A,并封锁托管该恶意软件的网站。

2013年上半年都只是在老调重弹,旧的威胁,例如 ZBOT、CARBERP 和 GAMARUE 利用新技术来躲避检测,或是用更隐蔽的方式潜入用户系统。WORM_PIZZER.A 也只是被重新包装过的的威胁。因为压缩文件的保护措施,让用户可能太过于放心,毫无戒备地解开并运行这些文件,成为传播威胁的完美掩护。

为了更好地保护自己,用户必须遵守计算机使用最佳实践,包括避免访问不明网站和从未经验证的电子邮件链接中下载文件。因为恶意软件可以将自己复制到压缩文件内,所以用户在执行类似文件时要格外小心。

@原文出处:Worm Creates Copies in Password-Protected Archived Files



5.29-6.12日,购趋势科技杀毒软件,单笔满288元,送288元大礼!

活动详情请戳: http://www.iqushi.com/buy.php

趋势科技移动安全防护免费下载:

http://www.trendmicro.com.cn/pcc ... ty-for-android.html




本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO:陈怡桦EvaChen的微博http://weibo.com/evatrendmicro


       
               

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ccsfuture
发表于 2013-5-31 23:36:00 | 显示全部楼层
学习了 我想知道卫士的网盾检测对这类病毒能够有效检测么....
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 04:20 , Processed in 0.131721 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表