现在通过Favicons更新的多功能Vawtrak恶意软件

自2013年中期以来,Vawtrak(Aka Snifla)多功能恶意软件已经存在。它的信息窃取,后门和间谍功能应该使其成为描述“Swiss army knife” of malware.

自创建以来,作者已经不断调整它,改变特征,目标区域或银行。通过Exploit套件,恶意软件下载器和通过驱动器下载传播,机会在一次或其他许多用户都遇到了它。

例如,今年2月,研究人员已经反复发现它正在通过 恶意 .

Avg Developer Jakub Kroustek最近刊登了一个白皮书,分析了它收到的威胁和最新的改进。其中包括接收最新列表的改进方式&C:

“[The malware’s]更新服务器托管在Tor隐藏Web服务上,并且通过Tor2Web20代理访问它们,无需安装任何特殊软件,例如Torbrowser。此外,与远程服务器的通信通过SSL完成,该SSL增加了进一步加密,” he explained.

“服务器列表可以由从那些更新C获取的文件进行更新&Cs. Vawtrak’S作者通过仅在用户浏览Internet(即浏览器产生网络流量时)仅通过通信,对其服务器进行了更困难的传播的检测。此外,Vawtrak使用隐写术来隐藏更新服务器上的Favicons内的更新列表。”

对于那些可能不知道的人,Favicons–也称为网站图标和书签图标–是包含与特定网站相关的一个或多个小图标的文件。

他们的性质使它们似乎并不可疑,而他们的小尺寸(约4 kB)仍然足以携带(加密)的更新文件隐藏在里面。

“避免Vawtrak感染最有效的方法是保持警惕在线网络钓鱼和骗局。但是,Vawtrak仍可能通过其他感染载体找到它,即使没有用户’S直接互动。因此,具有有效和更新的防病毒解决方案是必备的,”Krouseek说,尽管它试图禁用它在目标机器上找到的任何运行的AV软件(列表相当可观):

有关其功能的更多技术细节和信息,请查看白皮书。

分享这个