研究报告

安天发布《Staser家族样本分析报告》

时间 :  2017年07月10日  来源:  安天

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,一种可以对抗安全软件且通过移动设备与IPC$传播的恶意代码家族在网络上比较活跃,该家族名为“Staser”。

该家族样本运行后,首先会打开与当前病毒进程文件同名的信号互斥量,判断互斥量是否存在,若存在即不会继续运行。恶意代码通过注册表查找判断瑞星杀毒软件的存在,创建进程快照,判断360的杀软件进程360sd.exe、360rp.exe是否存在,如果存在,则结束它们的运行,它还会在用户桌面右下角伪造360的弹窗界面迷惑用户。

恶意代码可以利用IPC$入侵用户主机,利用弱口令猜测用户主机的帐号密码,成功后复制自身到计算机系统目录中执行。它还有一种传播方式是通过移动设备传播,恶意代码会在连接主机的移动设备中释放病毒文件autorun.inf,复制自身到移动设备中,设置文件属性为系统、隐藏,这样用户在插入移动设备到主机时,恶意代码即感染主机。

恶意代码样本还可以创建服务,将自身复制到%system%目录下,文件名为6个随机字符。恶意代码创建线程,连接远程服务器,收集系统的版本、CPU、内存等信息并回传,接收远程命令进行恶意操作,如DDoS、下载文件到指定目录、创建进程等。

安天CERT提醒广大网络使用者,不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件。对于移动设备一定要安全使用,在公共场合的计算机中不要插入自己的工作移动设备,以防感染工作主机及家用机,导致恶意代码广泛传播。

目前,安天追影产品已经实现了对该类样本的检出。

报告地址:
https://antiy.pta.center/_lk/details.html?hash=803C617E665FF7E0318386E24DF63038