能用密码自我保护的蠕虫程序
来源:互联网 发布:知轩社区 编辑:程序博客网 时间:2024/06/04 18:22
作者:趋势科技
通常用户将多个文件压缩成单一文件,这主要是为了方便或是节省空间。然而趋势科技发现有个蠕虫程序会自我复制,并将自己加入受密码保护的压缩文件里。
趋势科技取得了一个蠕虫程序样本(被检测为 WORM_PIZZER.A),会利用特定的 WinRAR 命令行工具来传播(见下图)。一旦执行,会让 WORM_PIZZER.A 复制自己到压缩文件内,特别是 ZIP、RAR 和 RAR FX 文件。这个蠕虫程序不会从压缩文件中提取密码。上述命令行是正常指令,用户可以用它来将文件加入压缩文件内,只要系统内装有 WinRAR 即可。然而恶意软件开始滥用该功能将自己复制到压缩文件内。
图一、WinRAR 命令行
经过趋势科技的测试,这种蠕虫程序是被 WORM_SWYSINN.SM 从一特定网站下载而来。
这种方式让人想起出现在 2010 年的 WORM_PROLACO 变种,其中有个变种会将某些 EXE 文件和自己的复本压缩在一起。但 WORM_PIZZER.A 的有趣之处在于,它会巧妙地将自己复制进压缩文件内,就算是有密码保护的压缩文件也一样。当毫无戒心的用户解开这些压缩文件时,并不知道里面已经加入了蠕虫程序,所以可能会像普通文件一样运行这个恶意软件。
图二、WORM_PIZZER.A 复本(bot.exe)出现在压缩文件内
趋势科技已经可以检测并删除 WORM_PIZZER.A,并封锁托管该恶意软件的网站。
2013年上半年都只是在老调重弹,旧的威胁,例如 ZBOT、CARBERP 和 GAMARUE 利用新技术来躲避检测,或是用更隐蔽的方式潜入用户系统。WORM_PIZZER.A 也只是被重新包装过的的威胁。因为压缩文件的保护措施,让用户可能太过于放心,毫无戒备地解开并运行这些文件,成为传播威胁的完美掩护。
为了更好地保护自己,用户必须遵守计算机使用最佳实践,包括避免访问不明网站和从未经验证的电子邮件链接中下载文件。因为恶意软件可以将自己复制到压缩文件内,所以用户在执行类似文件时要格外小心。
@原文出处:Worm Creates Copies in Password-Protected Archived Files
5.29-6.12日,购趋势科技杀毒软件,单笔满288元,送288元大礼!
活动详情请戳: http://www.iqushi.com/buy.php
趋势科技移动安全防护免费下载:
http://www.trendmicro.com.cn/pccillin/mobile-security-for-android.html
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
- 能用密码自我保护的蠕虫程序
- Mysql中表的自我复制(蠕虫复制)
- APK的自我保护
- APK 的自我保护
- APK的自我保护
- APK 的自我保护
- 【Android】APK的自我保护
- 超级程序实现-自我保护篇
- 浅谈利用进程间通信实现程序自我保护的方法
- 一个自我毁灭即等于自我保护的世界
- [电脑]电脑面前的自我保护
- 木马的隐藏与自我保护技术
- 内网嗅探自我保护用到的批处理
- Spring Cloud 的 Eureka 自我保护
- Spring Cloud Eureka的自我保护机制
- 关于Eureka的自我保护模式
- 程序的自我修改
- 程序的自我修改
- accelerated C++笔记一
- 连接Oracle数据库并实现添加数据
- 单个汉字转化为拼音,也可以获取汉字的首个字母
- 第九次上机课实验
- java获取文件扩展名
- 能用密码自我保护的蠕虫程序
- Spring MVC 使用redirect跳转页面,页面无法使用jstl接收参数的 解决办法
- android 获得一个应用程序的启动次数,运行时间等信息
- 【分析Windows 8系统三种安装方式的利弊】
- 警告: No configuration found for the specified action:
- Hadoop中map/reduce编程中关于mapper和reducer的Format问题
- eclipse 版本
- const char*, char const*, char*const的区别
- 【如何清理Windows XP冗余文件】