Kaspersky与Microsoft的安全软件被利用以安装间谍病毒

综合症初期患者

看了看资讯区、国外大区、卡巴斯基区和微软区
好像没有撞车
撞车了的话就麻烦管理员处理一下吧

原文地址：

http://news.softpedia.com/news/kaspersky-and-microsoft-security-products-abused-to-install-spying-trojan-495993.shtml

自翻（英文水平相当一般，如有错误...我也不管 蓝字对应原文中的小标题）：


美国的一家安全公司Palo Alto Networks最近发现， 一种新的木马使用用户电脑上安装的安全软件以加载（side-load，“侧向加载”）那些安装它本身所需的Dll。

这种新的木马被Palo Alto的工作人员命名为Bookworm。这种木马被观测到，其与PlugX RAT（应该是另一种病毒）有些相似之处。

目前，Palo Alto报告称，这种新型木马出现在一个仅活跃于泰国的APT攻击组织的活动中。

恶意软件的层次化传播

根据其内部结构，Bookworm似乎属于一种新兴的模块化恶意软件。这种恶意威胁会将自己的安装过程分为多步，逐步得安装自己，以避开检测，同时，也根据想要感染的目标的资料，使用远控服务器以控制实际安装的组件。

Bookworm木马的内部架构非常简单。多个恶意DLL被使用XOR算法（我想应该是指异或算法）进行加密，并捆绑进一个readme.txt文件中。

这个readme.txt文件接下来会和一些干净的可执行文件（就是指白文件吧）和一些DLL文件一起放进一个自解压的RAR包中，而此RAR包将会使用Smart Installer Maker封装为安装包。

这个安装包将会被黑客进行散布。当其被执行的时候，这个压缩包将会触发自解压，将readme.txt，干净的DLL和干净的EXE文件释放出来。

这个木马借助安全软件来安装它本身

在安装包结束执行之时，他将会自动的执行解压出的白EXE。这个可执行文件将会搜索微软的恶意软件保护程序（MsMpEng.exe）以及卡巴斯基的反病毒程序（ushata.exe）。

当它发现上述某一个程序的时候，他就会将自己的白DLL加载进这些程序中，并利用这些程序的权限，将它本身（这里应该还是指那个白EXE）安装为微软服务。

从这里开始，Bookworm就获得了它所需要的全部权限，以将其其他的模块从readme.txt中解压出来（即上文提到的黑DLL），并开始与远控服务器通信，加载其他模块，并将窃取的数据传回给远控服务器。

Palo Alto的研究人员并未提到还有哪些模块会被安装。他们在这方面的研究遇到了阻碍，这是由于Bookworm在与远控服务器的通信过程中，使用了至少四种加密算法（RC4, AES, XOR, and LZO）。

下图是此病毒的内部结构：

综合症初期患者

另外附上研究报告的原文地址：

http://researchcenter.paloaltone ... dular-architecture/

这个就不翻了...太长

对他们的研究报告有意见的话，可以在这个页面下方直接comment

驭龙

我觉得靠不住，现在的WD 4.8，我真的不相信有东西能轻松注入到MsMpEng中，除非是内核级的超级Rootkits

pal家族

他就会将自己的白DLL加载进这些程序中

HOW？？？？？？



谁知道这个程序是哪个卡巴软件里的？？？
百度完全找不到

关键是。。。。。这是很明显的谬误啊！！！连文件都错了！
exe好理解，请问一个dll怎么插入一个dll？？？
谁来科普下~

pal家族

驭龙 发表于 2015-11-12 19:42
我觉得靠不住，现在的WD 4.8，我真的不相信有东西能轻松注入到MsMpEng中，除非是内核级的超级Rootkits

请看3L，很明显的谬误

综合症初期患者

pal家族 发表于 2015-11-12 19:45
HOW？？？？？？

为避免歧义

现修改此楼，将其替换为原文中的路径：

%AllUsersProfile%\Application Data\Microsoft\DeviceSync\ushata.exe
%AllUsersProfile%\Application Data\Microsoft\DeviceSync\ushata.dll
%AllUsersProfile%\Application Data\Microsoft\DeviceSync\ushata

pal家族

综合症初期患者 发表于 2015-11-12 19:53
我用Google找到了这么一个文件：

C:\Documents and Settings\All Users\DRM\KSAVP1%ushata.exe

百度反正没有结果。。。
谷歌不清楚

DRM，英文全称Digital Rights Management, 可以翻译为：数字版权管理。

综合症初期患者

pal家族 发表于 2015-11-12 19:55
百度反正没有结果。。。
谷歌不清楚

关于文件扩展名的问题
那个新闻报道没有说全
你可以去看一下原本的研究报告
里面说的是三个文件：

ushata.exe
ushata.dll
ushata (无扩展名)

驭龙

pal家族 发表于 2015-11-12 19:49
请看3L，很明显的谬误

说实话WD的玩赖技术PPL可是连超级管理员权限都无可奈何，咋把DLL注入WD，难道是内核级的，可内核级的WD会无动于衷？WD的行为监控遥测也不是吃闲饭的啊，而且看5楼的路径，我真的没啥说的了

pal家族

驭龙 发表于 2015-11-12 20:15
说实话WD的玩赖技术PPL可是连超级管理员权限都无可奈何，咋把DLL注入WD，难道是内核级的，可内核级的WD会 ...

看来是利用了一个不存在的文件

综合症初期患者

驭龙 发表于 2015-11-12 20:15
说实话WD的玩赖技术PPL可是连超级管理员权限都无可奈何，咋把DLL注入WD，难道是内核级的，可内核级的WD会 ...

5楼的路径是我在Google上随便找的，只是为了说明ushata这个文件可能与kaspersky相关
原本的地址请见研究报告原文

此外，下面是原文中与微软安全软件相关的地址：
%AllUsersProfile%\Application Data\Microsoft\DeviceSync\MsMpEng.exe
%AllUsersProfile%\Application Data\Microsoft\DeviceSync\MpSvc.dll
%AllUsersProfile%\Application Data\Microsoft\DeviceSync\MpSvc