一周威胁聚焦（3 月20 日至 3 月24 日）.PDF

2 0 1 7 年 3 月 2 4 日，星期五 一周威胁聚焦（3 月20 日至3 月24 日） 本文概括介绍Talos 在过去一周内观察到的最常见威胁。与之前的威胁聚焦一样，本文不进 行深入分析，而是重点从以下方面总结我们观察到的威胁：关键行为特征、危害表现，以及 我们的客户如何自动防范这些威胁。 在此提醒，本文中介绍的关于以下威胁的信息并不十分详尽，但所述内容截至发稿日期为止 为必威体育精装版信息。对以下威胁的检测和防护会根据进一步的威胁或漏洞分析进行更新。如需获取 必威体育精装版信息，请参阅FireSIGHT 管理中心、S 或ClamAV.net。 本周最常见的威胁包括： • Win.Trojan.Bladabindi-6016609-0 此威胁是后门程序和凭证窃取程序的组合。可执行文件是.Net 字节码，它使用不同的 混淆器进行模糊处理。激活后，恶意软件会打开防火墙端口，允许其创建者连接到受感染 的设备。 • Win.Trojan.VBTrojan3-6118226-0 此恶意软件系列会尝试通过创建autorun.inf 文件并以“Secret.exe”、“Porn.exe”、 “Sexy.exe”或“Passwords.exe”等名称自我复制到所连接的USB 驱动器的多个位置的方 法来感染这些驱动器。此外，它还会禁用Windows 更新，自我复制到%USERPROFILE% 下，并自行配置为在启动时运行。它还会连接命令与控制(C ＆C) 服务器，以接收进一步 的指令。 • Win.Downloader.Gen-6115940 此恶意软件会修改互联网代理设置，与恶意域进行通信，并安装证书颁发机构根证书。 它还能修改剪贴板数据内容，执行外部应用，并记录截图。 • Win.Trojan.Tinba-6136046 Tinba 或Tiny Banker 是一个众所周知的恶意软件，专用于窃取受害者的详细银行信息。 它通常使用域生成算法来连接命令和控制服务器，以获取进一步的指令。此恶意软件可将 自身注入到explorer.exe 、ctfmon 或winver 等进程中。然后，它通常会作为中间人来收 集银行信息。这种二进制文件能够挂接文件或目录函数或注册表查询函数来隐藏自己的 存在。 • Win.Trojan.Iparmor-6136596-0 此木马会与远程服务器通信并充当后门程序，通过绑定在目标计算机的特定端口上，为攻 击者提供对受害计算机的完整访问权限。此外，它可能会采用反VM 和反调试技术来阻碍 分析，并且可能会注入其他进程中。 • Win.Trojan.Dridex 说明：Dridex 是一种常见的银行木马，专用于窃取受感染的主机提交的银行凭证。在样本 进行自动动态分析时，它会使用名为AtomBombing 的代码注入技术帮助逃避检测。必威体育精装版 版本中还包含对之前组件进行的若干追加更新。创建者和相关活动依然坚持利用此恶意软 件系列收集敏感的财务信息。 • Win.Trojan.Fareit Fareit 是一种专门用来收集敏感信息（包括银行凭证）的木马。其必威体育精装版变体使用VB.NET 编码。遗憾的是，反编译的P-code 进行了大量模糊处理。在运行时，它会和命令与控制 服务器通信，并下载第2 阶段的二进制文件。 • Win.Packer.RC465 此加壳程序通过自解压RAR 存档传送，包含四个文件（[a-z0-9]{6}.vbs 、[a-z0-9]{4}.dll 、 p、x ）。VBS 脚本使用rundll32.exe 执行DLL，该DLL 使用修改版本的RC4 来解密和加 载可执行负载。 • Doc.Macro.DeleteMacro-6096859-0 与此威胁关联的样本能够删除宏GUI 按钮，并通过向其添加宏代码来修改默认的Word 模板。 • Doc.Downloader.Donoff-6152250-0 Donoff 是一种负载传送Office 文档，它利用Windows 命令外壳发布Powershell 单行程序 来下载和执行可执行文件。在Donoff 可以传送的任意负载中，我们发现它会下载包括 Crypt0L0cker 在内的勒索软件。 详细信息 Win.Trojan.Bladabindi-6016609-0 已创建的互斥体 已创建的互斥体是随机的，下面是给定样本创建的互斥体的示例： • \BaseNamedObjects\82a189c74c3e9fd038b3ac0632