导语:恶意软件的开发者从来都不会停下脚步,所以对于安全研究人员最有趣的就是看看他们最近又想出了什么点子来散播他们的病毒。

恶意软件的开发者从来都不会停下脚步,所以对于安全研究人员最有趣的就是看看他们最近又想出了什么点子来散播他们的病毒。

Malwarebytes的安全研究人员偶然发现了一个采取了非同凡响的战术进行传播的恶意软件活动。他们发现了一个文件名为VMWare.exe的文件,它似乎是一个知名的VMWare虚拟化软件的盗版或破解版本。

Malwarebytes的恶意软件研究员PieterArntz说,在这个可疑的应用程序进行安装的期间,安装程序将连接到文本共享门户PasteBin,访问页面并下载一个文件。

他表示这个文件包含了一个Visual Basic脚本,而这个安装程序将在受害者的PC上运行。这个脚本还将连接到在线服务器上,下载并运行另一个名为Tempwinlogon.exe的EXE文件。Arntz称这个文件将安装Bladabindi远程访问木马(RAT),这个木马也被称为Derusbi或njRAT。

木马运行在.exe文档中

从一个文件名为Tr.exe的文档中运行这个RAT木马,而这个木马将使用键盘记录器组件记录用户的键击数据。

Arntz表示,如果用户注意到他们的PC上运行了可疑进程,并试图通过任务管理器终止其进程,计算机将立即崩溃,显示蓝屏死机。

此行为类似于由Kahu Security发现的基于JavaScript的恶意软件。每当用户尝试终止该恶意软件的进程时,它会关闭用户的PC,并由于在之前的阶段中安装的引导持久性机制而自行重新启动。

Arntz提醒用户,

如果您感染了这个RAT木马,则请考虑更改您的密码,因为密码可能已被窃取了。

源链接

Hacking more

...