攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

栏目: 编程工具 · 发布时间: 5年前

内容简介:网络安全公司Cofense于上周发文称,他们已经发现了一种被称为“Vengeance Justice Worm(Vjworm)”的新型计算机病毒。这种病毒被证实能够以多种形式给受感染系统造成破坏,包括信息窃取、拒绝服务(DoS)攻击和自我传播等。Cofense表示,Vjworm实际上结合了蠕虫病毒(Worm)和远程访问木马(RAT)的能力,在最近的网络钓鱼活动中使用与银行业务相关的诱饵。 除了具有多重破坏性之外,Vjworm还是公开可用的。也就是说,即使是低水平的黑客也可以使用它来攻击任意组织。

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

网络安全公司Cofense于上周发文称,他们已经发现了一种被称为“Vengeance Justice Worm(Vjworm)”的新型计算机病毒。这种病毒被证实能够以多种形式给受感染系统造成破坏,包括信息窃取、拒绝服务(DoS)攻击和自我传播等。

Cofense表示,Vjworm实际上结合了蠕虫病毒(Worm)和远程访问木马(RAT)的能力,在最近的网络钓鱼活动中使用与银行业务相关的诱饵。 除了具有多重破坏性之外,Vjworm还是公开可用的。也就是说,即使是低水平的黑客也可以使用它来攻击任意组织。

技术细节

在最近的网络钓鱼活动中,一些垃圾电子邮件使用与银行业务相关的诱饵来传播上面提到的Vjworm计算机病毒。从本质上讲,VJWorm是一种公开可用的模块化JavaScript远程访问木马。除了上面提到的功能之外,它还可以被用作其他有效载荷(Payload)的下载程序(Downloader)。

根据Cofense的说法,每个Vjworm样本都有一个对应于JS文件的唯一标识号。这个标识号可以在运行的内存字符串和JS文件中看到,会在解密算法中用的。虽然JS文件似乎是采用阿拉伯文编写的,但编码的字符串实际上是转换成阿拉伯文的JS代码字符。这是通过将主源代码解码为Unicode,然后解析字符以获取字符代码来实现的。在简单地计算了标识号的长度之后,将结果添加到字符代码中。然后,使用“String.fromCharCode()”函数将结果转换为阿拉伯文。

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图1.内存字符串中的标识号

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图2.JS文件中的标识号

信息窃取

如上所述,Vjworm也可以充当信息窃取程序。在成功执行之后,它便会开始收集信息,并对机器进行有效的指纹识别。然后,它会将收集到的信息附加到对C2 服务器的HTTP POST请求(的User-Agent字段)中。

默认情况下,POST将发送到主机的“/Vre”子目录。图3展示了User-Agent字段对数据和默认子目录的使用。

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图3.附加到User-Agent字段中的信息

具体来讲,Vjworm会查看cookie会话数据、剪贴板字符串,并尝试窃取用户凭证。图4展示了在内存字符串中看到的cookie收集功能:

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图4.Vjworm收集的cookie数据

此外,Vjworm还能够通过连接到C2服务器来获取进一步的指令,并具备跨端点自我传播功能。Vjworm的操作控制面板允许攻击者通过文件传输协议(FTP)将其他有效载荷发送到端点,并在端点上进行执行。需要指出的是,这种方式甚至可以迫使端点通过指定链接下载并执行有效载荷。这使得攻击者能够随时切换C2 服务器,进而保持隐匿性。

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图5.Vjworm操作控制台

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图6.进程内存中的连接字符串

拒绝服务(DoS)攻击

Vjworm可以部署几种不同类型的DoS攻击,包括洪泛DoS攻击。此外,它还具备一些类似僵尸网络的功能,包括域名服务(DNS)请求操作,以及发送和接收垃圾电子邮件。

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图7.内存中的DoS字符串

攻防最前线:兼具蠕虫和远控木马的Vjworm来袭

图8.与DNS操作功能相关的字符串

自我传播

如上所述,Vjworm还具备蠕虫特性,能够通过可移动驱动器传播。具体来讲,它会通过扫描受感染系统来查找连接的任何DriveType 2设备,以便它可以将自身复制到这些设备上。一旦复制完成,它就会将这些设备上的所有文件和文件夹设置为“隐藏”。然后,创建一个图标,并使用先前隐藏的文件的文件名之一对其进行命名。这个图标实际上是一个快捷方式,打开它会导致Vjworm副本的执行。

此外,Vjworm还可以在整个操作系统和启动文件夹中进行自我复制,且能够编辑注册表项,以便脚本可以在操作系统中长期隐藏和驻留。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用

最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用

李国光 / 人民法院出版社 / 2002-9 / 30.0

为进一步深入贯彻实施《中华人民共和国行政诉讼法》,最高人民法院发布了《关于行政诉讼证据若干问题的规定》。本书即是对《行政证据规定》作出的充分的阐释。《行政证据规定》是我国第一部关于行政诉讼证据问题系统的司法解释,对我国行政审判的发展和行政诉讼制度的完善必将产生重要而深远的影响。本书对这一《行政证据规定》进行阐述,是为了让广大读者更具体深入的了解这一重要的规定。 本书均将《最高人民法院......一起来看看 《最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码