设为首页收藏本站

编程十万个为什么,属于程序员的编程论坛

 找回密码
 5秒快速注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 58|回复: 0

Dridex僵尸网络的扩散渠道可能已被黑客入侵

[复制链接]
发表于 2017-3-9 15:40:04 | 显示全部楼层 |阅读模式


  Dridex僵尸网络的扩散渠道可能已被黑客入侵,被熏染的用户收到了正版Avira杀毒软件,而不是Dridex的恶意软件。至于缘故原由,目前有两种说法。你知道什么是"白帽子"吗?
  Avira软件研究者表示, Dridex僵尸网络的扩散渠道的一部分可能已经被黑客入侵,Avira杀毒软件副本取代了本来的恶意软件。由于Dridex操纵者不可能派发杀毒软件,以是这可能是一个白帽子黑掉了Dridex并覆盖了他的追踪。
  由于美国当局在2015年发布的黑客追缉令,Dridex僵尸网络的关注热度已经回升。Dridex从受熏染的电脑中窃取keylogs,并利用透明重定向和webinjects操纵银行网站。通过恶意软件加载垃圾邮件的流传,在欧洲和美国的造成的损失大约有数百万欧元。
  Dridex是通过垃圾邮件流传,邮件中通常包含一个有恶意宏的Word文档。一旦文件被打开,恶意宏就能够从被劫持的服务器上下载有效载荷,计算机也因此被熏染。
  但就现在的情况看来,服务器文件已经被修改。"恶意软件下载URL的内容已经被更改,一个正版的最新的Avira杀毒软件网络安装程序取代了本来的Dridex载入程序。"Avira恶意软件专家莫里茨克罗尔说道。
  对于计算机用户来说,被熏染后他们将收到一个合法的Avira杀毒软件副本,而不是Dridex的恶意软件。
  这次变乱看起来很像孙子兵法中提及的"兵者,诡道也"。要诀在于迷惑敌人,使之不清楚我们的真实意图。"我们仍然不知道是谁用我们的安装程序做了这件事,以及他为什么要如许做。但我们已经有了一些猜想"。克罗尔说:"这是当然不是我们自己做的。"
  此次变乱的两个可能缘故原由:
  理论1:网络犯罪分子正在这么做,并试图以某种方式破坏Avira杀毒软件和Avira公司其他的检测过程。但克罗尔否认了这一可能性:"如果是如许的话,我们不认为这些恶意软件会提供Avira安装程序--他们不想提高受害者电脑的防护程度。"
  理论2:是"白帽子"匿名做了这件事。"有如许一种可能性,一个白帽子入侵了熏染的Web服务器,并利用与Dridex恶意软件编写者所利用的雷同毛病,用Avira杀毒软件安装程序取代了本来的恶意软件。"克罗尔解释道。显然做了这件事的白帽子不想公然此事。"固然他们做的事是有益的,但是在大多数国家这都被判定是技术的上的违法,因此白帽子才要匿名去做。"
  Avira软件的安装程序以前曾被添加到CryptoLocker和 Tesla 打单软件上。"对于CryptoLocker来说,恶意软件在绝大多数情况下要求CnC通信。以是可执行文件不被接受,Avira软件也不能被执行。当时,我们在一个特定的供应商那看到了很多更改。"克罗尔说道。"至于 Tesla 打单软件,包括查杀安装背后的动机仍不清楚。"
  据Avira的调查,列出了dridex针对的部分金融机构。包括巴克莱银行、柏林银行、法国巴黎银行、德国贸易银行、法国农业信贷银行、德意志银行、汇丰银行、la Banque邮政银行、国民西敏寺银行、Raiffeisen银行、苏格兰皇家银行、桑坦德银行、SocieteGenerale、Sparda、储蓄银行,Ulsterbank、以及美国富国银行。

       

                                                    


来源链接: http://www.2cto.com/News/201602/490203.html
您需要登录后才可以回帖 登录 | 5秒快速注册

本版积分规则

关闭

BcWhy推荐上一条 /1 下一条

QQ|关于我们|最新帖子|小黑屋|手机版|编程十万个为什么 ( 粤ICP备16108587号-2  

GMT+8, 2017-3-26 13:27 , Processed in 0.200769 second(s), 27 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表