赛门铁克(Symantec)的一名安全研究员发现了一种新的后门木马,该木马可授权黑客远程访问并控制被感染的受害机器。

这个被研究员称作“Duuzer”的东西已经对韩国一些组织作了针对性,以企图窃取有价值的信息。这种木马可感染Windows7,Windows Vista,Windows XP的32位和64位系统版本。

Duuzer给攻击者提供了远程访问受害机器的途径,并且可执行以下操作:

         收集系统和驱动信息
                创建、枚举和结束进程
                访问、修改和删除文件
                上传和下载文件
                改变文件的时间属性
                执行恶意命令
                从受感染的系统中窃取数据
                掌控受害者的操作系统

Duuzer通过鱼叉式网络或网络钓鱼进行感染攻击

目前还尚不清楚如何将恶意软件散布出去,但根据赛门铁克的安全研究人员称,最明显的途径就是矛式网络钓鱼和水坑攻击(Watering Hole Attack)。

一
旦机器被感染,Duuzer首先就会检测系统是否是运行在一个像VMWare虚拟机或者虚拟安全沙盒中,以确保当前环境不是安全研究人员建立起来对其进行
分析的。此外,该木马在启动时还会识别现有的软件配置,并采取一个被感染机器上的合法软件的名称从而在系统中猖獗蔓延。

Duuzer首次执行会在机器上设置后面,可运行攻击者对受害系统进行物理访问。黑客则可以通过在受影响的计算机的后门上手动执行命令,并可以执行上述的所有操作。

“根据我们对Duuzer后门的分析,攻击者似乎具有计算机安全研究人员的分析技术经验,”研究人员说。“他们的动机似乎是为了从受害者机器上窃取有价值的信息。”

“Brambul”蠕虫和“Joanap”后门蠕虫

研究还发现:被称为“Brambul”的蠕虫病毒和“Joanap”的后门蠕虫在感染计算机时大多是一起进行协同工作,这通常用于远程登录和监控被感染者系统。

目前还尚不清楚Joanap如何进行传播,而安全研究员相信它们很可能是来自恶意邮件。

被发现的W32.Brambul蠕虫通过服务器消息快(SMB)协议从一台电脑传播到另一台电脑,并且对受害者进行蛮力攻击。

一旦感染,Brambul蠕虫会使用本地网络连接到随机IP,并使用常见的弱口令如:“password”,“123123”,“login”,“abc123”和“iloveyou”等进行登录。

除了通过SMB攻击其它计算机,Brambul还会对被入侵的电脑创建网络共享,通常是系统的磁盘驱动器,然后将计算机的详细细腻和登录凭据发送到一个预定义的电子邮件地址。

Duuzer,Brambul和Joanap之间的联系

据赛门铁克称,Duuzer与Joanap和Brambul有联系……但有何关联呢?

一旦感染系统,Brambul就会在受感染的机器上清除其他恶意软件,要么是Duuzer要么是Joanap。在被Brambul感染的系统上,一直被Duuzer用作指挥和控制(CNC)服务端和Duuzer自身就会遭到破坏。

如果Joanap被清除,那么木马就会将自身注册成一个名为“智能保护卡”的本地系统服务并启动。并且木马会打开一个后门程序:

         向攻击者发送特定文件
                保存或删除文件
                下载和执行文件
                执行或终止进程
                从C&C服务器上接收指令并传播

如何摆脱这支“野战军”?

虽然Duuzer,Brambul,和Joanap只是众多威胁韩国组织的低风险病毒中的一员,但我们仍为用户和企业建议,为了保证自己的信息安全,你应该遵循下列步骤,从而防止系统被恶意软件损害:

使用防火墙阻止来自互联网的所有传入的连接请求,不应公开提供服务。

默认情况下,你应该拒绝所有输入连接,而只允许你显示地向外界提供服务。

使用复杂的密码,让你的口令更难破解。

如果不是移动设备所必须的话,建议关闭蓝牙。另外,目前还不需要关闭其他服务。训练你的员工不要盲目打开陌生邮件或邮件附件。