新闻链接：http://www.seehand.com/news/726.html
新闻时间：2015/06/02 12:58
新闻正文：
“卡巴斯基实验室”在其自家博客Securelist.ru的一份报告中公布了对一种新型木马的分析，该木马名为Grabit。专家们在其中一个美国客户公司的服务器上发现了几十种不同的恶意软件样本，这些样本在大小和功能性方面各不相同，但内部名称和一些其他标识符都很相似。

在样本中发现的差异使研究人员得出结论认为，网络犯罪分子已经尝试了测试、包装和实行“死码”功能，试图让不同文件大小（0.52 MB-1.57 MB）和不同复杂程度的代码混淆。

“卡巴斯基实验室”反病毒专家伊达·纳罗拉承认：“犯罪分子使用他们自己的方法混淆了字符、方法和类别，极大地使对样品的分析变复杂了。”

“还包括技术ASLR（地址空间布局随机化），这可能表明一个RAT开源，甚至使用中的恶意软件是装在一个组织严密的结构的综合商业环境的存在

“不仅如此，他们使用的技术手段中还包括ASLR技术（地址空间布局随机化），这可能表明一个RAT（远程管理工具）开源代码的存在，甚至利用了可以使恶意软件装在一个组织严密的结构中的商务综合环境。”纳罗拉在自己对Grabit的分析中这样写道：“这种类型的工作，可以使攻击者从分析师的眼前将自己的代码隐藏起来。”

Grabit很好地保护自己免受反病毒分析，同时又使用非常原始的工具进行攻击。例如，攻击者并不试图掩盖他们的活动痕迹，通过明显的渠道连接从服务器控制和操纵中交换数据信息。那些在Windows资源管理器窗口常见的恶意软件通常采取一切努力来隐藏自己的行踪，但这些攻击者并没有采取这种方式。

“考虑到这一点，给人的印象是攻击者似乎想发动一场‘弱骑士配重甲’的战争。”纳罗拉写道。“这意味着，制造恶意软件的那些人没有一开始就编写所有代码。训练有素的骑士在手里只是棍棒而不是一把剑的时候，是永远不会进入到屏幕战争中的。”

进一步分析显示，Grabit的功能之一——键盘记录，是基于商业黑客产品HawkEye的代码，最早出现于2014年。该产品具有广泛的功能，包括多种类型的远程管理工具，可以实现对受害人电脑的控制。另外还发现了一个样本，使用的代码来自著名的 DarkComet。

恶意软件通过电子邮件发送，以Microsoft Word的形式进行传播。隐藏在文档中的AutoOpen宏指令通过TCP打开一个套接字，发送包含恶意软件的HTTP请求至远程服务器，并安装至受害人的电脑。

研究人员收集并分析了将近一万个被盗的恶意软件文件。设备受感染的比例最高的是在泰国（44.87％）和印度（24.36％）公司。据专家介绍，Grabit的这场攻击开始于2015年二月下旬，于三月中旬结束。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！