查看: 3165|回复: 0
收起左侧

[分享] ROVNIX利用密码保护宏、窃取密码和记录按键信息

[复制链接]
Sammi888
发表于 2014-12-10 14:43:00 | 显示全部楼层 |阅读模式

趋势科技最近发现 ROVNIX 恶意软件家族能够通过宏下载器来散播。这种恶意伎俩之前在DRIDEX恶意软件上见到,它以使用相同招数著称。DRIDEX同时也是CRIDEX银行恶意软件的后继者。
虽然感染方式相当古老,网络犯罪分子了解使用恶意宏也能够达到想要的目的,甚至可以对抗复杂的防御措施。
ROVNIX恶意软件行为
根据趋势科技的分析,ROVNIX会将 rootkit 驱动程序写入 NTFS 磁盘驱动器未分割的空间。这可以有效地隐藏该驱动程序,因为这个未分割空间不会被操作系统和安全产品所看到。
为了加载恶意驱动程序,ROVNIX会修改IPL的内容。修改这个程序代码从而让恶意rootkit驱动程序在操作系统前被加载。这一做法主要有两个目的:逃避侦测,并且在Windows 7及之后的版本加载未签章过的驱动程序。
ROXNIX感染链
在此攻击中,恶意文件包含一个社交工程诱饵,特制成来自微软Office的假通知来指示用户启用宏设定。

(带有恶意宏文件的屏幕截图)
启用宏会去执行恶意宏程序代码,被侦测为W97M_DLOADER.AI。这个恶意宏和之前CRIDEX所用的不同之处在于ROXNIX有加上密码保护。这让分析此恶意软件变得困难,因为没有密码或特殊工具就无法检视或打开宏。

(恶意宏ROVNIX需要密码)

(该脚本的代码段)
这个恶意软件脚本使用简单的字符串拼接和多个变量替换,企图混淆程序代码以躲避防毒侦测。当宏被执行,会植入三个不同类型的隐藏脚本,包括一个Windows PowerShell脚本。这策略意味着网络犯罪分子会去针对Windows 7,开始预设安装了Windows PowerShell。

(W97M_DLOADER.AI植入的档案)
名为adobeacd-update.bat的脚本会执行adobeacd-update.vbs(VBS_POWRUN.KG),提升用户权力,然后再执行另一个名为adobeacd-update.ps1(TROJ_POWDLOD.GN)的脚本。TROJ_POWDLOD.GN接着会从http//185[.]14[.]31[.]9/work.exe下载并执行TROJ_ROVNIX.NGT,这是一个ROVNIX加载器。
根据趋势科技主动式云端截毒服务 的反馈数据,德国出现了最多用户有着受感染系统。

(2014年11月6日到2014年11月18日最受影响的国家)
结论
ROVNIX对用户和企业都会造成危险,因为除了其后门能力外,它还可以窃取密码和记录按键信息。这种攻击可能被用在数据入侵外泄上,因为资料窃取是其主要行为。此外,这攻击突显出有更多恶意软件可能会去利用宏文件来滥用PowerShell以散播其恶意软件。不过要注意的是,在此次攻击中,PowerShell功能并未被滥用。
用户可以轻易地将其宏设定设到最大安全性以保护其系统。如果检视文件需要用到这功能,请确保档案来自可信任的来源。趋势科技通过主动式云端截毒技术来侦测恶意档案以保护用户免受此威胁。
相关哈希值如下:
92C090AA5487E188E0AB722A41CBA4D2974C889D
4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:30 , Processed in 0.141363 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表