特洛伊木馬Dridex出現(xiàn)新變種,可避免傳統(tǒng)的防病毒產(chǎn)品的檢測

據(jù)外媒報道，Dridex是著名的特洛伊木馬，專門竊取網(wǎng)上銀行憑證。該惡意軟件于2014年被首次發(fā)現(xiàn)，且非?；钴S，黑客不斷改進其功能和攻擊載體。最近出現(xiàn)了Dridex的新變種，可避免傳統(tǒng)的防病毒產(chǎn)品的檢測。

去年1月，F(xiàn)orcepoint安全實驗室的研究人員發(fā)現(xiàn)，Dridex不僅通過網(wǎng)絡(luò)釣魚攻擊用戶，還通過受損的FTP網(wǎng)站擴大感染鏈。

本月早些時候，網(wǎng)絡(luò)安全研究員Brad Duncan首次發(fā)現(xiàn)了這款最新的惡意軟件。新的木馬變種使用了應(yīng)用程序白名單技術(shù)來阻止Windows Script Host。通過利用Windows WMI命令行(WMIC)中薄弱的執(zhí)行保護和策略，惡意軟件能夠使用XLS腳本繞過防病毒產(chǎn)品。

安全研究人員表示，Dridex DLL文件是64位DLL，使用的文件名由合法的Windows可執(zhí)行程序加載。然而，每當(dāng)受害者登錄到受感染的Windows主機時，文件名和散列都會被刷新和更改。

網(wǎng)絡(luò)安全公司eSentire表示，Dridex的核心功能得到了額外的升級，并提供了與新病毒有關(guān)的更多細(xì)節(jié)。最初樣本被上傳到VirusTotal后，在60個反病毒解決方案中，只有6個識別出了惡意軟件。到6月27日，成功檢測的數(shù)量已經(jīng)增加到16個。

在惡意軟件最新傳播過程中，不同URL和目錄的線索向eSentire表明，新的變種版本還未完成。