3月13日-3月17日一周威胁综述.PDFVIP

2017 年3 月17 日，星期五 3 月13 日- 3 月17 日一周威胁综述 本文概括介绍Talos 在过去一周内观察到的最常见威胁。与之前的威胁聚焦一样，本文不进 行深入分析，而是重点从以下方面总结我们观察到的威胁：关键行为特征、危害表现，以及 我们的客户是如何自动得到保护、免受这些威胁的。 在此提醒，本文中介绍的关于以下威胁的信息并不十分详尽，但所述内容截至发稿日期为止 为最新。对以下威胁的检测和防护会根据进一步的威胁或漏洞分析进行更新。如需获取最新 信息，请参阅FireSIGHT 管理中心、S 或ClamAV.net。 本周最常见的威胁包括： • Win.Worm.Pykspa-6057105 此恶意软件通过自动安装持久驻留在系统中，然后在传入端口上侦听其他命令，并在 系统上放置可执行文件。Pykspa 会在备用数据流中创建文件，或许还能执行侦测操作， 例如读取剪贴板数据和所按的键盘键。Pykspa 还包含规避手段（例如光标移动检测）， 并会禁用Windows Defender 。 • Win.Trojan.Drivedos-6042667 此恶意软件使用域生成算法(DGA) 与CC 服务器通信，以下载其他文件。它可以感 染USB 设备，还能感染启动磁区。它还有从剪贴板读取数据和记录击键的功能。它 会投放文件扩展名为.PIF 的可执行文件。 • Win.Virus.Virut-5898123-1 Virut 是一种多态文件感染程序。它所具有的特征是在进入系统后立即混淆代码，而且 为了避开检测，此代码还会不断随时间而变化。Virut 在解压缩后，会挂接相关的 Windows API 调用，以便开始感染主机上的其他文件。它还会设置后门，以便下载并 执行其他恶意软件。 • Win.Virus.PolyRansom-5704625-0 PolyRansom 是一种多态文件感染程序。除此之外，它还可用作勒索软件，在感染主 机一段时间后锁定对受感染主机的访问。它在执行时会大量创建各种新的进程实例。 最后，它会锁定 Windows 主机并要求以比特币支付赎金。桌面墙纸被替换为勒索信， 旨在欺骗用户以为自己侵犯了版权，因此需要支付比特币罚金。 • Doc.Dropper.ZwMacros-6057750-0 此恶意文档会在系统上安装TOR 和PHP。PHP 可执行文件被设置为通过“开始”菜 单启动中使用链接自动运行。该植入程序文档本身有代码可执行进程间内存操作。 • Win.Downloader.Mupad Mupad 会向一系列域发送信标，企图下载并执行负载。它会枚举系统以获得信息，例 如系统中安装的防病毒软件以及系统是否在虚拟机中运行。 • Doc.Dropper.Agent 此样本是一个Word 文档，使用文档中的VBscript 执行用来下载并执行其他恶意负载 的PowerShell 负载。 • Win.Trojan.Redirect-6055402-0 该恶意软件是一个植入程序，用来卸载其他恶意软件。它会投放一个dll 文件和一个可 执行文件。dll 文件被预先加载到每个启动的进程中，进而由其启动可执行文件，即实 际威胁。目前，该植入程序用来部署Cerber。 • Win.Trojan.Zusy-6041926-0 Zusy 是特洛伊木马，将自身注入其他 Windows 进程和浏览器中以窃取有价值的信息。 该恶意软件还具有反调试和反侦测虚拟环境功能，并与硬编码CC 服务器通信。 • Win.Trojan.PasswordStealer 此样本是以VB 封装的二进制文件，它至少试图从Firefox Web 浏览器、FileZilla FTP 客户端、Chrome、Internet Explorer 和许多其他应用（例如PokerStar、VNC、 Foxmail、VNC 客户端等）窃取密码。 • Doc.Macro.ObfuscatedObj-6059281-0 Word 文档使用经过混淆处理的宏与C2 服务器通信，以下载并执行负载。 详细信息 Win.Worm.Pykspa-6057105 创建