趋势科技注意到恶意软件URSNIF突然出现了感染高峰。URSNIF家族已知会窃取资料(比如:密码),一般间谍软件总会被认为具备有高风险,但这些URSNIF变种可能会带来数据窃取以外的损害。因为这些变种是文件感染病毒——这是出现侦测数量激增的原因。
感染数据
根据趋势科技主动式云端截毒服务的反馈资料,受影响最严重的国家是美国和英国。这两个国家占了全部URSNIF变种感染数量的近75%,加拿大和土耳其则是受影响次严重的国家。
(受到URSNIF影响的国家,根据收集至2014年12月的资料)
其他反馈数据显示教育、金融和制造业是最受影响的产业。
URSNIF,文件感染程序
正常的PE感染程序会用主文件来执行其程序代码,或在执行主文件程序前先执行自己的程序代码,会利用cavity、appending、pre- pending或进入点混淆等技术来插入恶意代码到主文件。不过PE_URSNIF
.A-O的URSNIF变种似乎会将主文件插入其资源区段。
(嵌入URSNIF资源区段内的PDF文件)
它会感染所有卸除式磁盘驱动器和网络驱动器机内的PDF、EXE和MSI文件。URSNIF会将找到的文件打包嵌入其资源区段。当这些受感染文件被
执行时,会将原始档丢入%User Temp%(~{随机}.tmp.pdf、 ~{随机}.tmp.exe)然后加以执行,以欺骗用户认为打开的文件没有问题。
(可视化呈现PDF、EXE和MSI文件的感染链)
删除原本的PDF文件后,它将建立一个跟原本PDF文件名一样的EXE文件。至于MSI和EXE文件,它会将自己的程序代码插入目前的可执行文件。它只会感染文件名内有“setup”的EXE文件。
(受感染(上方)和干净(下方)PDF文件的区别。受感染文件是3.18MB,而干净文件是2.89MB。)
对于MSI文件,会在执行其恶意代码前先执行原本的文件。至于PDF和EXE文件,会产生植入型的木马程序,其会植入并执行源文件和主文件感染程序。
延伸恶意行为
恶意软件家族URSNIF被认为是个间谍软件。变种可以挂勾常见浏览器(Internet Explorer、Google Chrome、Firefox)相关的网络API来监视网络流量,它也已知会收集资料。不过,已知间谍软件家族现在包含文件感染行为这个事实显示网络犯罪
分子会调整既有的恶意软件,延伸其恶意行为。
延伸到文件感染可以视为是一种战略。不同的文件感染模式(例如appending)需要安全解决方案不同的侦测方式,并非所有的解决方案都可以加以
侦测。此一恶意软件另一个显著特点是它会在执行30分钟后开始其感染行为。这可以视为是种反沙盒技术,因为大多数沙盒工具仅会监视恶意软件二到五分钟左 右。
对策
1、用户要小心保护自己的设备免受威胁所害,包括URSNIF。注意小细节是有帮助的,例如上面所看到的PDF文件比较。
2、因为这一变种可以通过卸除式磁盘驱动器和网络分享散播,用户必须进行额外的安全措施。用户不要将卸除式磁盘驱动器插入未知计算机或不受安全解决
方案防护的计算机;IT管理员也要正确地配置网络分享,例如,计算机不应该可以随意地存取内部网络;也可以将网络存取设定为只读,而非可改写。
3、用户也要使用可以不断地跟上威胁变化的安全解决方案。URSNIF变种通常会通过垃圾邮件和木马植入/下载恶意软件抵达。用户需要全面性的安全 解决方案,不仅是可以侦测和封锁恶意软件。像电子邮件信誉评比服务等功能可以侦测和封锁垃圾邮件与其他电子邮件相关威胁来大大地提高计算机安全性。而趋势 科技安全无忧软件由趋势科技最新技术云安全5.0提供支持,这种下一代安全架构恰似一个全球邻里联防系统,能够在病毒、间谍软件、垃圾邮件和各种网络威胁
到达用户的企业之前对其予以拦截。
趋势科技将受感染的PDF和EXE文件侦测为PE_URSNIF.A2。受感染的MSI文件侦测为PE_URSNIF.A1。
|
