Created: 2008-10-04 11:39:45
上星期一,我們收到一些經由即時通訊軟件迅速傳播的病毒樣本。David很快便加入了這個網絡威脅並提供了一個好好的總結。
在分析二進位數據時,我們發現了Win32/Inject.NBL幾個有趣的特點。首先,我們肯定這惡意程式具有以下功能:
-下載
-更新
-刪除
-msn.msg
-msn.stop
-aim.msg
-aim.stop
-triton.msg
-triton.stop
簡而言之,這個惡意程式可以下載新的檔案,自我更新並從一台受感染的電腦移除自己。它最主要經由三種不同的即時通訊軟件傳播: MSN Messenger,AIM和TRITON。
在技術層面來說,Inject.NBL是幾有趣的,因為解壓檔案進入記憶體後,封包不會跳到程式最初的進入點。封包會啟動一個新的可執行程式,並注入代碼,創建新的處理程序。這種技術可能是為了避過防毒軟件的偵測和分析。
在過去的三天,Inject.NB仍然在網絡上經由MSN使用相同的欺詐訊息引誘使用者點取連結廣泛地傳播。它的命令和控制網絡使用IRC協定建設在在盧森堡的伺服器上。
Pierre-Marc Bureau
ESET 惡意程式研究員