WiryJMPer滴管

WiryJMPer滴管说明

网络安全专家在野外发现了一个新的特洛伊木马程序。它的名称为" WiryJMPer",到目前为止,它已被用于提供一种特定的恶意软件菌株NetWire RAT 。 Trojan Droppers的目的是提供嵌入式有效负载,并在逃避沙箱和防病毒引擎时提供帮助。恶意软件开发人员倾向于使用各种各样的技巧来增加Trojan Dropper击败目标可能使用的安全工具的机率–在WiryJMPer Dropper的情况下,损坏的文件装有垃圾代码以及无用的功能,遍历代码的随机部分,而不做任何有意义的事情。

一个基本的Dropper用于交付威胁性的远程访问工具

尽管能够在恶意软件研究人员的视线中隐藏至少几个月,但结论是WiryJMPer Dropper当然不是最先进的特洛伊木马。它包含了非常基本的代码混淆和技术,还应用了一些社会工程技巧,以减少受害者与软件的交互。当前,唯一受WiryJMPer滴管及其带来的有效载荷感染的用户可能是ABBC硬币钱包的用户。这是一个合法的工具,如果您从官方可靠的来源下载它,它将可以正常工作。但是,WoryJMPer Dropper的作者托管着ABBC硬币钱包的虚假副本,该副本充当Trojan的托管者。可以安全地假设WiryJMPer Dropper当前针对的用户组将是加密货币用户。

加密货币投资者是WiryJMPer Dropper的当前目标

如果用户最终在计算机上执行了伪造的ABBC Coin Wallet安装程序,则他们可能会立即看到几个快速闪烁的程序窗口。尚不知道是否打算执行此操作,但您可以放心,如果您尝试运行未更改的ABBC硬币钱包,则不会发生这种情况。然后,伪造的安装程序将继续启动合法的ABBC Coin Wallet安装程序,但还将开始在后台加载NetWire RAT文件。在此期间,它还将检查是否存在与各种虚拟机软件和防病毒引擎的活动相关的某些字符串,进程和注册表项。如果Trojan删除程序未检测到沙盒环境或恶意软件分析工具,它将继续将NetWire RAT的文件删除至"%APPDATA%",然后将" .LNK"文件放置在"启动"文件夹中以获取持久性。

WiryJMPer Dropper很有可能会在未来的活动中使用,这些活动可能依赖于不同的恶意软件压力。目前,建议使用最先进的防病毒软件套件保护自己免受这种威胁,并避免从不可靠的来源下载文件。