因?yàn)槲④浤J(rèn)禁用了互聯(lián)網(wǎng)下載文件的宏代碼，攻擊者在惡意軟件分發(fā)中開(kāi)始越來(lái)越多地使用磁盤(pán)鏡像文件（如 ISO 和 VHD）。近期，研究人員發(fā)現(xiàn)攻擊者在利用 VHD 文件分發(fā) ChromeLoader。從文件名來(lái)看，攻擊者將惡意軟件偽裝到任天堂和 Steam 游戲的破解版中。如下所示，一些游戲是付費(fèi)游戲。

分發(fā)的文件名

利用文件名在 Google 上進(jìn)行檢索，可以發(fā)現(xiàn)多個(gè)分發(fā)惡意軟件的網(wǎng)站。其中都部署了大量的破解版游戲與破解版付費(fèi)應(yīng)用程序，從任何一個(gè)來(lái)源下載非法程序都會(huì)中招。

搜索引擎結(jié)果

例如點(diǎn)擊惡意網(wǎng)站的廣告，下載一個(gè)普通的程序文件：

惡意網(wǎng)站廣告

用戶(hù)很容易將 VHD 文件誤認(rèn)為是游戲相關(guān)的程序，VHD 中的文件如下所示。除了 Install.lnk 文件之外的所有文件都被隱藏了，因此普通用戶(hù)只會(huì)看到 Install.lnk 文件。

VHD 中的文件

LNK 文件會(huì)運(yùn)行 properties.bat 文件，該腳本會(huì)調(diào)用 tar 命令解壓 files.zip 文件到指定目錄。

properties.bat

files.zip 文件中包含良性文件和與 node-webkit(nw.js) 相關(guān)的惡意 JavaScript 文件（注：node-webkit 是一個(gè)使用 Chromium 和 Node.js 的網(wǎng)絡(luò)應(yīng)用程序。），通過(guò) nw.exe 運(yùn)行并引用 package.json 文件中寫(xiě)入的數(shù)據(jù)進(jìn)行加載。

files.zip

properties.bat 運(yùn)行 data.ini 文件與解壓后生成的 videos.exe 文件。前者為 VBS 腳本，會(huì)在 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ 中創(chuàng)建 videos.exe 的快捷方式。

data.ini

videos.exe 文件里有 nw.exe 文件，可以引用 package.json 來(lái)運(yùn)行 main 函數(shù)指定的腳本文件。本例中指定的是 start.html 文件，其中包含混淆后的惡意 JavaScript 文件。

package.json

最終，videos.exe 文件會(huì)執(zhí)行 start.html 中的惡意 JavaScript 代碼下載 ChromeLoader。ChromeLoader 是一種通過(guò) Chrome 擴(kuò)展程序執(zhí)行惡意行為的廣告類(lèi)惡意軟件，也可以竊取瀏覽器憑據(jù)并篡改瀏覽器設(shè)置。

總結(jié)

最近，使用磁盤(pán)鏡像文件的惡意軟件有所增加，攻擊者也常常將惡意軟件偽裝成破解游戲和破解程序。用戶(hù)在執(zhí)行從未知來(lái)源下載的文件時(shí)，必須格外小心。安全研究人員建議，用戶(hù)要從官方網(wǎng)站下載軟件。