經過僞造烏克蘭相關文件進行傳播的惡意軟件MiniDuke

news · 2014/04/02 19:13

一年以前，安全研究人員從殺毒廠商卡巴斯基發現了一個複雜的惡意軟件，他們稱爲 MiniDuke，專門收集和竊取戰略信息和受到高度保護的政治信息。

如今，MiniDuke病毒再次經過一個與烏克蘭相關的PDF文件在傳播。

「考慮到當前該地區的危機，這是件頗有趣的事情」安全研究公司F-Secure公司的首席技術官Mikko Hypponen在週二寫到。

Hacker News一年前報道了該exp利用的CVE-2013-0640。

MiniDuke惡意軟件是用匯編編寫的，很是小隻有20KB，能夠劫持Twitter帳戶。

該惡意軟件由三個部分組成： PDF文件， MiniDuke程序和payload。

打開PDF溢出以後，會移除payload，PDF的內容設計人權，烏克蘭的外交政策，加入北約計劃。

受感染的計算機會經過Twitter或Google接收加密的指令，一旦計算機受到感染就會鏈接到發送指令的服務器，它開始經過GIF圖像文件接收加密的後門。一旦安裝，它能夠複製，刪除，刪除文件，建立數據庫，中止進程並下載新的惡意軟件，也可能會植入其它木馬程序。

F-Secure公司還提供了幾個被認爲更有可能從已經存在的和扭曲烏克蘭有關的文件截圖。

MiniDuke的做者所作的惡意軟件彷佛熟悉殺毒軟件，這使得它與其它病毒不一樣的工做原理。該惡意軟件包含一個後門，容許它繞過系統的分析，並在病毒被檢測到的狀況下，會阻止惡意行爲，消失在系統當中。

MiniDuke惡意軟件以前就攻擊力比利時，巴西，保加利亞，捷克共和國，格魯吉亞，德國，匈牙利，愛爾蘭，以色列，日本，拉脫維亞，黎巴嫩，立陶宛，黑山，葡萄牙，羅馬尼亞，俄羅斯聯邦，斯洛文尼亞，西班牙，土耳其，美國政府機構英國，美國，包括烏克蘭。