首页
社区
课程
招聘
新型跨平台的键盘记录恶意软件PWOBot曝光
发表于: 2016-4-23 20:03 1280

新型跨平台的键盘记录恶意软件PWOBot曝光

2016-4-23 20:03
1280
新闻链接:http://www.freebuf.com/news/102450.html
新闻时间:2016-04-23
新闻正文:
Palo Alto Networks发现了一个新型恶意软件家族,可以攻击多种平台,包括Windows,Linux,以及OS X等。这一发现对全球网络用户而言,无疑是一个令人沮丧的坏消息。

基于Python的恶意软件已经蔓延至整个Windows系统

该恶意软件是基于Python编辑的,根据Palo Alto Networks的研究表明,截至目前,该恶意软件正大规模在波兰的整个Windows操作系统蔓延。然而,利用平台间的切换能力,该恶意软件很有可能实现在全球范围内的蔓延、运行。

该恶意软件已经被命名为“PWOBot”。Palo Alto Networks研究公司认为这款恶意软件非常特殊,因为根据Palo Alto Networks的威胁情报分析师Josh Grunzweig的说法,该恶意软件“是完全用Python编写,并通过PyInstaller编译生成一个Microsoft Windows可执行文件。”

Josh Grunzweig进一步补充说道:

“该恶意软件已经对欧洲(尤其是波兰)的相关组织造成了可见性影响。此外,该恶意软件是经由一个流行的波兰文件共享网络服务实现传递的。该恶意软件自身可以实现非常丰富的功能,包括下载和运行文件,执行Python代码,记录按键信息,再生一个HTTP服务器以及通过受害人的CPU和GPU挖掘比特币等。”
PWOBot恶意软件家族成员超过12人

PWOBot在过去几年的检测结果中被发现存在12种变体,但是它们都不具备跨平台的特征。最新发现的这款具备跨平台能力的PWOBot恶意软件,可谓让安全研究人员和操作系统开发商们感到了“火烧眉毛”的紧迫感。

Grunzweing进一步解释说:

“攻击者利用PyInstaller将这个Python代码转换成为一个MicrosoftWindows可执行文件。然而,由于Python正在被使用,所以它可以很容易地被移植到其他的操作系统中,如Linux或OS X。”
该恶意软件首先卸载之前的旧版本,然后安装一个带有明显恶意企图的新版本。要做到这点,该恶意软件需要查询并运行 registry keys,因为绝大多数的旧版本都是利用一个特定的‘pwo[VERSION]’模式来运行注册表的。这里的[VERSION]指的是PWOBot的版本号。一旦它的新版本被安装,该恶意软件会创建一个可执行文件的副本,并将其保存到这个位置:%HOMEPATH%/ PWO[VERSION]。

这种恶意软件家庭之所以如此危险的原因,不仅在于它具有跨平台的特性,还有它独特的模块化设计等方面的因素。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//