Windows木马记录击键并获取桌面快照

 

俄罗斯安全企业Dr.Web最近发现了一种新型的监控软件变体,名为BackDoor.Apper。安全研究人员...



俄罗斯安全企业Dr. Web最近发现了一种新型的监控软件变体,名为BackDoor.Apper

安全研究人员表示这款新木马是通过含有一份微软Excel文件附件的垃圾邮件传播的。当附件被打开时,它会尝试诱骗用户启用宏。如果宏被启用,那么包含在Excel文件中的代码就会从网上下载自我解压的RAR文件,加压缩并执行压缩文件。

BackDoor.Apper将被盗数据发送到命令和控制服务器

跟最近发现的多数恶意软件家族一样,该监控软件做的第一件事就是联系命令和控制服务器。在第一次通信中,BackDoor.Apper会收集关于本地系统的信息并将其发送给服务器。这些信息包括计算机名称、硬件详情以及硬盘使用数据。用户的MAC地址还能生成一个独特的ID供犯罪分子的僵尸网络区分被感染的受害者。

随后,该监控软件就会真正开始实施恶意行为,它会从活跃窗口中收集击键次数以及这些击键的来源。这款木马还会例行将数据发送回主服务器。

木马可执行计算机上的代码

此外,该木马还还会基于从命令和控制服务器中接收到的指令中执行其它操作。BackDoor.Apper能够从服务器中下载文件并执行它们、创建从文件夹中找到的文件清单并将其发送到服务器,同时窃取并上传那些命令和控制服务器认为重要的文件。另外,木马还会获取用户桌面的快照,同时观察指定文件夹是否出现任何活动并将其通知给恶意软件操作者。

虽然研究人员并未说明BackDoor.Apper是否是APT组织恶意活动的一部分还是金融网络犯罪分子组织活动的一部分,不过它确实具备满足这两种情景的能力。


    关注 代码卫士


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册