惡意軟件 QakBot 是一種主要通過(guò)共享驅(qū)動(dòng)器或移動(dòng)設(shè)備實(shí)現(xiàn)自我復(fù)制的網(wǎng)絡(luò)蠕蟲。該惡意軟件主要針對(duì)企業(yè)銀行賬號(hào)竊取用戶資金與私人數(shù)據(jù)，例如：數(shù)字證書、緩存憑證、HTTP（S）會(huì)話認(rèn)證數(shù)據(jù)、Cookie、身份驗(yàn)證令牌以及 FTP 、POP3 登錄憑證等。

據(jù)外媒報(bào)道，自2008年以來(lái)，Qakbot（也被稱為Qbot）一直困擾著企業(yè)，利用蠕蟲進(jìn)行傳播。該木馬以微軟Windows系統(tǒng)為目標(biāo)，試圖創(chuàng)建后門，竊取用戶名和密碼，從而獲得金融數(shù)據(jù)。

現(xiàn)在Qakbot更新了持久性機(jī)制，使得計(jì)算機(jī)更難以檢測(cè)和刪除惡意軟件。計(jì)算機(jī)通常被一個(gè)植入程序感染，植入程序會(huì)在受感染的機(jī)器上創(chuàng)建一個(gè)計(jì)劃任務(wù)，指示它從攻擊者控制的惡意域中執(zhí)行 JavaScript下載程序。

今年4月，Qakbot開始變得更為活躍。新的下載程序從與被劫持域上相同的統(tǒng)一資源標(biāo)識(shí)符請(qǐng)求資源，這些域是XOR加密的，以便混淆JavaScript下載程序中包含的惡意數(shù)據(jù)，并允許惡意程序執(zhí)行任務(wù)。

由于惡意軟件現(xiàn)在被分成兩個(gè)單獨(dú)的文件，只有當(dāng)植入的可執(zhí)行文件運(yùn)行時(shí)，才會(huì)組裝部署 Qakbot，這使得殺毒軟件更難檢測(cè)到。

惡意軟件一旦部署到系統(tǒng)上，將在后臺(tái)工作，竊取相關(guān)數(shù)據(jù)，以達(dá)到攻擊者的目的。目前對(duì) Qakbot最好的防御方式只能是阻止其部署到計(jì)算機(jī)上，因?yàn)榧词故莿h除了惡意軟件，也仍然會(huì)產(chǎn)生一系列問(wèn)題。

cc

收藏 海報(bào)分享