WiryJMPer滴管

WiryJMPer滴管說明

網絡安全專家在野外發現了一個新的特洛伊木馬程序。它的名稱為" WiryJMPer",到目前為止,它已被用於提供一種特定的惡意軟件菌株NetWire RAT 。 Trojan Droppers的目的是提供嵌入式有效負載,並在逃避沙箱和防病毒引擎時提供幫助。惡意軟件開發人員傾向於使用各種各樣的技巧來增加Trojan Dropper擊敗目標可能使用的安全工具的機率–在WiryJMPer Dropper的情況下,損壞的文件裝有垃圾代碼以及無用的功能,遍歷代碼的隨機部分,而不做任何有意義的事情。

一個基本的Dropper用於交付威脅性的遠程訪問工具

儘管能夠在惡意軟件研究人員的視線中隱藏至少幾個月,但結論是WiryJMPer Dropper當然不是最先進的特洛伊木馬。它包含了非常基本的代碼混淆和技術,還應用了一些社會工程技巧,以減少受害者與軟件的交互。當前,唯一受WiryJMPer滴管及其帶來的有效載荷感染的用戶可能是ABBC硬幣錢包的用戶。這是一個合法的工具,如果您從官方可靠的來源下載它,它將可以正常工作。但是,WoryJMPer Dropper的作者託管了ABBC Coin Wallet的偽造副本,該副本充當Trojan dropper的宿主。可以安全地假設WiryJMPer Dropper當前針對的用戶組將是加密貨幣用戶。

加密貨幣投資者是WiryJMPer Dropper的當前目標

如果用戶最終在計算機上執行了偽造的ABBC Coin Wallet安裝程序,則他們可能會立即看到幾個快速閃爍的程序窗口。尚不知道是否打算執行此操作,但您可以放心,如果您嘗試運行未更改的ABBC硬幣錢包,則不會發生這種情況。然後,偽造的安裝程序將繼續啟動合法的ABBC Coin Wallet安裝程序,但還將開始在後台加載NetWire RAT文件。在此期間,它還將檢查是否存在與各種虛擬機軟件和防病毒引擎的活動相關的某些字符串,進程和註冊表項。如果Trojan刪除程序未檢測到沙盒環境或惡意軟件分析工具,它將繼續將NetWire RAT的文件刪除至"%APPDATA%",然後將" .LNK"文件放置在"啟動"文件夾中以獲取持久性。

WiryJMPer Dropper很有可能會在未來的活動中使用,這些活動可能依賴於不同的惡意軟件壓力。目前,建議使用最先進的防病毒軟件套件保護自己免受這種威脅,並避免從不可靠的來源下載文件。