近日，BAESystems的安全人員發(fā)表了一篇關(guān)于Qbot網(wǎng)絡(luò)感知蠕蟲回歸的調(diào)查報(bào)告，指出已經(jīng)感染了5.4萬臺計(jì)算機(jī)。

[[165386]]

百科

Qbot蠕蟲，也叫Qakbot，并不是新出現(xiàn)的惡意軟件。最早在2009年被發(fā)現(xiàn)，該惡意軟件之所以持續(xù)發(fā)展，是因?yàn)槠湓创a已經(jīng)被網(wǎng)絡(luò)罪犯獲取，并不斷改進(jìn)以逃避檢測。從BAE Systems的發(fā)現(xiàn)來看，他們似乎已經(jīng)成功了。

惡意軟件描述

85%的感染系統(tǒng)位于美國，尤其學(xué)術(shù)、政府和醫(yī)療等行業(yè)網(wǎng)絡(luò)受到嚴(yán)重打擊。例如，今年年初，皇家墨爾本醫(yī)院(Royal Melbourne Hospital)的病理部門受到嚴(yán)重影響。

典型的Qbot通過控制網(wǎng)絡(luò)、托管Rig Exploit Kit進(jìn)行傳播。當(dāng)用戶使用受影響的計(jì)算機(jī)訪問惡意網(wǎng)站時(shí)，一個(gè)用于提供滲透代碼的混淆腳本會靜默執(zhí)行，并在Windows PC中安裝該惡意軟件。

這是Qbot傳播的通用方式，但是攻擊者也通過惡意郵件鎖定目標(biāo)公司。

BAESystems報(bào)告指出，反病毒產(chǎn)品對Qbot的影響受到很多因素的限制。Qbot通過連接Command & Control中心獲取更新，使用變異的外觀，自身完成重新編譯和加密，使用基于服務(wù)器的多態(tài)性來逃避檢測。

“Qbot使用的基于服務(wù)器的多態(tài)性可以很大程度地限制AV檢測，通常55個(gè) AV 廠商，只有幾個(gè)著名的廠商可以可靠地檢測Qbot——或者更具體說是檢測它的外部加密器。當(dāng)然，幾天過后，大部分AV產(chǎn)品都可以檢測該相同的樣本，但是Qbot通常一至兩天會自動(dòng)更新一次，也就是說，它可以潛伏很長時(shí)間不被發(fā)現(xiàn)。”

此外，該惡意軟件還可以檢測其是否運(yùn)行在虛擬機(jī)沙箱中，改變其行為避免被發(fā)現(xiàn)。

Qbot主要是用于獲取密碼和其他用戶證書。它會試圖從Windows’Credential Store中抓取密碼，泄露網(wǎng)絡(luò)登錄情況，獲取Outlook、Windows Live Messenger、Remote Desktop和Gmail Messenger密碼。另外，Qbot還會試圖訪問IE的密碼管理器，竊取緩存的用戶名和密碼，借助這些信息和從網(wǎng)絡(luò)流量中獲取的證書，攻擊者可以進(jìn)入FTP服務(wù)器，使用滲透代碼工具包感染其他網(wǎng)站，來傳播該惡意軟件。

Qbot中還存在一個(gè)后門功能，攻擊者可以獲取敏感數(shù)據(jù)和知識產(chǎn)權(quán)，破壞基礎(chǔ)設(shè)施，向組織中植入更復(fù)雜的惡意軟件。

Qbot正在逐漸演變成更加致命的威脅，但是它有時(shí)仍然不能幸免于攻擊者自己犯的錯(cuò)誤。當(dāng)它感染一小部分過期的個(gè)人電腦時(shí)，會導(dǎo)致這些電腦崩潰——也就會通知目標(biāo)阻止其網(wǎng)絡(luò)中存在問題，這可能會導(dǎo)致該惡意軟件過早暴露。