作死典范:恶意软件竟然还主动提交软件商店审核结果被完整扒皮
通常情况下恶意软件作者都会极力避免与安全软件打交道,避免恶意软件被发现或者是自己个人信息被顺藤摸瓜。
但是也总有些不信邪的恶意软件开发者想要与安全软件正面怼,至于正面怼的原因自然是想不被安全软件再查杀。
例如近期360 核心安全团队就发现有恶意软件开发者试图将恶意软件提交到软件商店再通过正规渠道避免被检测。
专门申请正规的数字签名:
这个名为单据打印系统的恶意软件主要目标是商业用户,其目的很有可能是窃取企业信息或者是对企业进行勒索。
单据打印系统这款软件本身具有单据打印的正常功能,用户下载安装后可以正常使用但木马也在背后悄悄运行着。
为达到传播效果其背后的开发者还利用某公司申请正规的数字签名,试图利用正规的签名来躲避恶意软件的查杀。
能够如此大费周章其目的也绝对不简单,窃取企业信息或对企业勒索获得的收益自然也要比感染普通用户收益多。
软件运行时的截图:真的可以打印...
试图提交到软件商店进行过白:
与普通恶意软件相比这款恶意软件的开发者也算是作死典范,这名开发者试图将恶意软件提交到360 的软件商店。
对于开发者来说如果成功提交到商店意味着获得更广阔的传播空间,依靠软件商店向商业用户投毒效果也会更好。
同时提交软件商店后也可以进行过白即进入到查杀白名单,在用户安装后被杀毒软件查杀和拦截的概率也会降低。
据360 团队表示此恶意开发者在提交审核时还多次通过电话和邮件进行催促,强调自己是正规软件希望能够过审。
正常的功能下是远程控制后门程序:
然而这个强调自己是正规软件的单据打印系统虽然安装后具有正常的表单打印功能,但是里面也潜藏着远控后门。
这个远程控制后门程序具有多种功能,例如文件管理、键盘记录、屏幕控制、语音监听、下载执行、系统管理等。
也就是说用户如果不慎感染此木马则自己面前的电脑实际会被攻击者完全控制,甚至开启麦克风监听用户的谈话。
不论电脑上保存什么样的资料攻击者均可随时远程进行查看,也可以加载更多木马程序用来执行更多的恶意操作。
木马作者使用的远程控制服务端:(虚拟机测试图)
作死的结果就是被彻底扒皮:
敢于正面怼的结果就是要想好自己会面临的下场,例如这个单据打印系统的恶意软件开发者就已经被完整的扒皮。
据分析该开发者活跃的城市主要有江苏无锡和四川南充,而恶意软件附带签名的公司名在工商系统中也可以查到。
但注册的公司法定代表人倒不是木马作者本人,通过手机号码以及QQ 号码溯源后确定真正木马作者叫做李某伦。
而这个李某伦此前因为发布带后门程序的迅雷破解版传播网银木马已经被关注到,到现在算是已经被彻底扒皮了。
商贸公司与正规数字签名:
数字签名是企业避免软件发布后遭到篡改的有效方式,同时数字签名也被视为是企业认证因此有些杀毒默认放行。
但看似重要的签名近年遭到利用的例子越来越多,以文本的某某商贸为例,该公司很可能是信息泄露或冒名申请。
同时有些证书签发商没有履行严格审核机制让攻击者有机可乘,例如去年方正阿帕比公司就被冒名申请数字证书。
攻击者伪造方正阿帕比企业信息成功获得数字证书后用于签名木马盗窃用户Steam账户,这种情况也会越来越多。
在此也提醒广大网友在验证软件真伪时也不能光看数字签名,通过软件官网或正规渠道下载才能尽可能避免中招。