每周典型威胁分析

 
     近日，安天 CERT（安全研究与应急 处理中心）在梳理网络安全事件时发现一 种名为 Moker 的恶意代码。该家族至少从 2012 年开始流行，现在通过漏洞利用工具 包 Rig-v EK 进行传播，包括恶意广告行 为以及挂马网站。

     恶意代码首先将自身注入 svchost. exe，然后连接 C&C 服务器，其使用加密 的通信方式，典型的请求格式为： .php?img=， 服 务 器 使 用 加密内容响应，然后它会将自身注入到其 他应用程序并发送进一步的请求，包括受 感染机器的数据。Moker 通过在注册表中 添加 Run 键来实现持久性，它将真正的可 执行文件隐藏在合法的 Microsoft 应用程序 Rundll32.exe 之后。微软工具套件中的 autoruns 工具在默认情况下也不显示这样 的注册表键。Moker 载荷会释放在用户目 录下的 tester 文件夹中，与原样本相比， 删除了一些加密信息，而这个信息会保留 在注册表中。样本的执行分二个阶段，第 一个阶段解密自身，下载执行主要功能的 恶意 DLL，第二阶段将该 DLL 注入应用程 序。DLL 模块负责恶意代码的所有恶意操 作，它还主动与 C&C 进行通信。该 DLL 提供典型 RAT 的各种功能，它使用了非 常简单的混淆技术，多数字符串与 API 调 用并不会被进行混淆处理。它可以执行某 些命令或创建并保存屏幕截图，还可以使 攻击者通过远程桌面访问受害者计算机。

     安天 CERT 提醒广大网络使用者，要 提高网络安全意识，在日常工作中要及时 进行系统更新和漏洞修复，不要随意下载 非正版的应用软件、非官方游戏、注册机 等。收发邮件时要确认收发来源是否可靠， 更加不要随意点击或者复制邮件中的网址， 不要轻易下载来源不明的附件，发现网络 异常要提高警惕并及时采取应对措施，养 成及时更新操作系统和软件应用的好习惯。 同时也要做好文件的备份，以防止勒索软 件加密重要文件后无法恢复。

      目前，安天追影产品已经实现了对该类 恶意代码的检出。