複雜高階木馬USB竊賊出現

本文講的是複雜高階木馬usb竊賊出現,eset 公司的研究人員最近發現了一種複雜的 usb 木馬，它可以悄然竊取受害系統上的資料，不會留下痕跡。此外，它還帶有一種保護機制，使自身難以被檢測、複製、分析。

eset 公司將這種木馬命名為 usb thief（usb竊賊）。與一般 usb 木馬家族的不同之處在於，惡意軟體拷貝和 u 盤之間是一一對應的。

一般 usb 病毒利用自執行和快捷方式檔案執行，usb竊賊則依賴於乙個現狀：使用者經常會在 u 盤上儲存移動版的 firefox 、 notepad++ 和其它常見應用。

eset 表示，這種惡意軟體會通過偽裝成外掛程式或 dll 檔案，將自身注入到這類應用的執行鏈條中。

eset 稱，這種惡意軟體會偽裝成外掛程式或 dll 檔案，將自身注入到這類應用的執行鏈條中。當使用者執行應用程式時，也會讓木馬開始在後台執行。

這種惡意軟體擁有六種元件：四個可執行程式和兩個配置檔案。

為了保證自身不被從 u 盤中拷貝出來，遭到反向工程，有些 usb thief 的檔案使用 usb 裝置本身的 id 和幾種磁碟屬性作為 aes 金鑰，進行了加密。感染的每個階段，執行檔案程式的名稱都會有所變化，因為它們是基於檔案內容和建立時間生成的。

這一機制能夠確保其自身不會在攻擊者植入病毒的 usb 儲存器之外的其它裝置上執行，阻礙研究人員分析。

第一階段的載入器負責借助移動版應用執行該木馬，並檢查 usb 裝置是否被設為可讀狀態，以確定能否將竊取到的資訊存在 u 盤上。

第二階段，載入器校驗母程序的名稱，確保自身不在分析環境中執行，第三階段，載入器檢查是否存在反病毒軟體。

最後乙個攻擊載荷會被注入到新建立的程序中，以竊取受感染裝置的資訊，包括、文件、windows 登錄檔樹、所有可用儲存器的檔案列表、winaudit（一種 windows 庫存模組）收集到的資料。惡意軟體會使用橢圓曲線加密演算法對偷到的資訊進行加密，並儲存在 u 盤上。

由於惡意軟體是在 u盤上執行的，感染不會在目標裝置上留下任何痕跡。eset 專家認為這種威脅是入侵物理隔絕系統的絕佳手段。

由於帶有一些獨到的特性，這種惡意軟體非常特殊。不過，主流的網路安全措施還是能夠防護它的。最重要的是，只要有可能，就應該禁用 usb 埠；如果做不到，應當部署嚴格的策略，限制其使用。對公司各崗位員工進行網路安全培訓是相當可取的措施，如果可能，還應該增加實地測試。

usb thief 並不是 eset 分析過的唯一一種 u 盤病毒。eset 還分析過 pawn storm 、 apt28 、 sednit 等小組用於入侵物理隔離網路的工具。