特洛伊木馬Dridex出現(xiàn)新變種,可避免傳統(tǒng)的防病毒產(chǎn)品的檢測(cè)

據(jù)外媒報(bào)道，Dridex是著名的特洛伊木馬，專門竊取網(wǎng)上銀行憑證。該惡意軟件于2014年被首次發(fā)現(xiàn)，且非?；钴S，黑客不斷改進(jìn)其功能和攻擊載體。最近出現(xiàn)了Dridex的新變種，可避免傳統(tǒng)的防病毒產(chǎn)品的檢測(cè)。

去年1月，F(xiàn)orcepoint安全實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，Dridex不僅通過網(wǎng)絡(luò)釣魚攻擊用戶，還通過受損的FTP網(wǎng)站擴(kuò)大感染鏈。

本月早些時(shí)候，網(wǎng)絡(luò)安全研究員Brad Duncan首次發(fā)現(xiàn)了這款最新的惡意軟件。新的木馬變種使用了應(yīng)用程序白名單技術(shù)來阻止Windows Script Host。通過利用Windows WMI命令行(WMIC)中薄弱的執(zhí)行保護(hù)和策略，惡意軟件能夠使用XLS腳本繞過防病毒產(chǎn)品。

安全研究人員表示，Dridex DLL文件是64位DLL，使用的文件名由合法的Windows可執(zhí)行程序加載。然而，每當(dāng)受害者登錄到受感染的Windows主機(jī)時(shí)，文件名和散列都會(huì)被刷新和更改。

網(wǎng)絡(luò)安全公司eSentire表示，Dridex的核心功能得到了額外的升級(jí)，并提供了與新病毒有關(guān)的更多細(xì)節(jié)。最初樣本被上傳到VirusTotal后，在60個(gè)反病毒解決方案中，只有6個(gè)識(shí)別出了惡意軟件。到6月27日，成功檢測(cè)的數(shù)量已經(jīng)增加到16個(gè)。

在惡意軟件最新傳播過程中，不同URL和目錄的線索向eSentire表明，新的變種版本還未完成。