趋势科技最近发现 ROVNIX 恶意软件家族能够通过宏下载器来散播。这种恶意伎俩之前在DRIDEX恶意软件上见到,它以使用相同招数著称。DRIDEX同时也是CRIDEX银行恶意软件的后继者。
虽然感染方式相当古老,网络犯罪分子了解使用恶意宏也能够达到想要的目的,甚至可以对抗复杂的防御措施。
ROVNIX恶意软件行为
根据趋势科技的分析,ROVNIX会将 rootkit 驱动程序写入 NTFS 磁盘驱动器未分割的空间。这可以有效地隐藏该驱动程序,因为这个未分割空间不会被操作系统和安全产品所看到。
为了加载恶意驱动程序,ROVNIX会修改IPL的内容。修改这个程序代码从而让恶意rootkit驱动程序在操作系统前被加载。这一做法主要有两个目的:逃避侦测,并且在Windows 7及之后的版本加载未签章过的驱动程序。
ROXNIX感染链
在此攻击中,恶意文件包含一个社交工程诱饵,特制成来自微软Office的假通知来指示用户启用宏设定。
(带有恶意宏文件的屏幕截图)
启用宏会去执行恶意宏程序代码,被侦测为W97M_DLOADER.AI。这个恶意宏和之前CRIDEX所用的不同之处在于ROXNIX有加上密码保护。这让分析此恶意软件变得困难,因为没有密码或特殊工具就无法检视或打开宏。
(恶意宏ROVNIX需要密码)
(该脚本的代码段)
这个恶意软件脚本使用简单的字符串拼接和多个变量替换,企图混淆程序代码以躲避防毒侦测。当宏被执行,会植入三个不同类型的隐藏脚本,包括一个Windows PowerShell脚本。这策略意味着网络犯罪分子会去针对Windows7,开始预设安装了Windows PowerShell。
(W97M_DLOADER.AI植入的档案)
名为adobeacd-update.bat的脚本会执行adobeacd-update.vbs(VBS_POWRUN.KG),提升用户权力,然后再执行另一个名为adobeacd-update.ps1(TROJ_POWDLOD.GN)的脚本。TROJ_POWDLOD.GN接着会从http//185[.]14[.]31[.]9/work.exe下载并执行TROJ_ROVNIX.NGT,这是一个ROVNIX加载器。
根据趋势科技主动式云端截毒服务 的反馈数据,德国出现了最多用户有着受感染系统。
(2014年11月6日到2014年11月18日最受影响的国家)
结论
ROVNIX对用户和企业都会造成危险,因为除了其后门能力外,它还可以窃取密码和记录按键信息。这种攻击可能被用在数据入侵外泄上,因为资料窃取是其主要行为。此外,这攻击突显出有更多恶意软件可能会去利用宏文件来滥用PowerShell以散播其恶意软件。不过要注意的是,在此次攻击中,PowerShell功能并未被滥用。
用户可以轻易地将其宏设定设到最大安全性以保护其系统。如果检视文件需要用到这功能,请确保档案来自可信任的来源。趋势科技通过主动式云端截毒技术来侦测恶意档案以保护用户免受此威胁。
相关哈希值如下:
92C090AA5487E188E0AB722A41CBA4D2974C889D
4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5