据外媒报道,自2008年以来,Qakbot(也被称为Qbot)一直困扰着企业,利用蠕虫进行传播。该木马以微软Windows系统为目标,试图创建后门,窃取用户名和密码,从而获得金融数据。
现在Qakbot更新了持久性机制,使得计算机更难以检测和删除恶意软件。计算机通常被一个植入程序感染,植入程序会在受感染的机器上创建一个计划任务,指示它从攻击者控制的恶意域中执行JavaScript下载程序。
今年4月, Qakbot开始变得更为活跃。新的下载程序从与被劫持域上相同的统一资源标识符请求资源,这些域是XOR加密的,以便混淆JavaScript下载程序中包含的恶意数据,并允许恶意程序执行任务。
由于恶意软件现在被分成两个单独的文件,只有当植入的可执行文件运行时,才会组装部署Qakbot,这使得杀毒软件更难检测到。
恶意软件一旦部署到系统上,将在后台工作,窃取相关数据,以达到攻击者的目的。目前对Qakbot最好的防御方式只能是阻止其部署到计算机上,因为即使是删除了恶意软件,也仍然会产生一系列问题。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。