上周，網(wǎng)絡安全公司發(fā)現(xiàn)了一種被稱為“Vengeance Justice Worm（Vjworm）”的新型計算機病毒。這種病毒被證實能夠以多種形式給受感染系統(tǒng)造成破壞，包括信息竊取、DoS攻擊和自我傳播等。

Vjworm實際上結(jié)合了蠕蟲病毒和遠程訪問木馬的能力，在最近的網(wǎng)絡釣魚活動中使用與銀行業(yè)務相關(guān)的誘餌。 除了具有多重破壞性之外，Vjworm還是公開可用的，即使是低水平的黑客也可以使用它來攻擊任意組織。

技術(shù)細節(jié)
在最近的網(wǎng)絡釣魚活動中，一些垃圾電子郵件使用與銀行業(yè)務相關(guān)的誘餌來傳播上面提到的Vjworm計算機病毒。從本質(zhì)上講，VJWorm是一種公開可用的模塊化JavaScript遠程訪問木馬。除了上面提到的功能之外，它還可以被用作其他有效載荷的下載程序。

每個Vjworm樣本都有一個對應于JS文件的唯一標識號。這個標識號可以在運行的內(nèi)存字符串和JS文件中看到，會在解密算法中用的。雖然JS文件似乎是采用阿拉伯文編寫的，但編碼的字符串實際上是轉(zhuǎn)換成阿拉伯文的JS代碼字符。這是通過將主源代碼解碼為Unicode，然后解析字符以獲取字符代碼來實現(xiàn)的。在簡單地計算了標識號的長度之后，將結(jié)果添加到字符代碼中。然后，使用“String.fromCharCode()”函數(shù)將結(jié)果轉(zhuǎn)換為阿拉伯文。

信息竊取
Vjworm也可以充當信息竊取程序。在成功執(zhí)行之后，它便會開始收集信息，并對機器進行有效的指紋識別。然后，它會將收集到的信息附加到對C2 服務器的HTTP POST請求中。默認情況下，POST將發(fā)送到主機的“/Vre”子目錄。

具體來講，Vjworm會查看cookie會話數(shù)據(jù)、剪貼板字符串，并嘗試竊取用戶憑證。圖4展示了在內(nèi)存字符串中看到的cookie收集功能：

此外，Vjworm還能夠通過連接到C2服務器來獲取進一步的指令，并具備跨端點自我傳播功能。Vjworm的操作控制面板允許攻擊者通過文件傳輸協(xié)議（FTP）將其他有效載荷發(fā)送到端點，并在端點上進行執(zhí)行。需要指出的是，這種方式甚至可以迫使端點通過指定鏈接下載并執(zhí)行有效載荷。這使得攻擊者能夠隨時切換C2 服務器，進而保持隱匿性。

DoS攻擊
Vjworm可以部署幾種不同類型的DoS攻擊，包括洪泛DoS攻擊。此外，它還具備一些類似僵尸網(wǎng)絡的功能，包括域名服務（DNS）請求操作，以及發(fā)送和接收垃圾電子郵件。

自我傳播
Vjworm還具備蠕蟲特性，能夠通過可移動驅(qū)動器傳播。具體來講，它會通過掃描受感染系統(tǒng)來查找連接的任何DriveType 2設(shè)備，以便它可以將自身復制到這些設(shè)備上。一旦復制完成，它就會將這些設(shè)備上的所有文件和文件夾設(shè)置為“隱藏”。然后，創(chuàng)建一個圖標，并使用先前隱藏的文件的文件名之一對其進行命名。這個圖標實際上是一個快捷方式，打開它會導致Vjworm副本的執(zhí)行。

此外，Vjworm還可以在整個操作系統(tǒng)和啟動文件夾中進行自我復制，且能夠編輯注冊表項，以便腳本可以在操作系統(tǒng)中長期隱藏和駐留。

ice

收藏 海報分享