今年黑客年会，安全研究人员Paul Rascagnere指出台湾仍有60多家企业留有远端木马工具(RAT)Poison Ivy及Terminator的遗毒未清，持续在对远端黑客传送资料。主要原因是这类恶意程序不断变种，难以被安全防御工具侦测。而FireEye近期研究也发现这支持续变种的Terminator持续锁定攻击台湾。

FireEye近期发现一波可疑的攻击样本，透过钓鱼邮件攻击台湾，邮件内附一个名為”103.doc”的恶意Word档，它是利用CVE2012-0158弱点，使用者点选后会被植入一支名为DW20.exe的恶意程序。

FireEye研究员Rong-Hwa Chong表示，这支Terminator不是第一次在APT攻击中出现，但它不断变形非常狡诈，使受害单位既有的资安防护设备完全无法侦测。

首先，它利用另一元件转送流量给代理服务器再来跟C&C服务器沟通(如下图)，由于这种分工，一个一个分开看，防御设备便不会认為是可疑行为。此外，它还可以让自己变大，档案可以大到超过40MB，以躲避file-based的防毒软体扫描侦测。同时这支DW20.exe在被下载安装后会先自我移除，如果是一般的沙盒可能就不会发现，在重新开机时才会啟动。且為了不让安全人员发现，它还改变机码用自己建的文件夹与捷径。

经过解析，这支Terminator 样本会连回到liumingzhen.zapto.org以及liumingzhen.myftp.org这两台C&C服务器，与6月份FireEye发现的另一波攻击(钓鱼邮件如下图)，使用相同的C&C服务器。该服务器IP登记于一家软件公司名下，经通报后表示会停机进行检查。

update，（感谢机械葫芦娃补充资料）

Poison Ivy及Terminator 等恶意程序不断变种，难以被侦测。FireEye发现持续变种的Terminator攻击台湾:钓鱼邮件内附名为”103.doc”的恶意Word文档，利用CVE2012-0158漏洞，使用者打开后会被植入病毒。——以上两种木马，以及以前的gh0st等都是开源的，修改下就能绕过侦测。这是幸还是不幸？
此马功能强大，服务端只有6K稳定上线（此版本修正2.3.2的200上线）穿任何墙自带杀软监控系统。智能写启动无360提示，很少见的马——来自CSDN的描述 

[via fireeye 译 资安人]