6月12日訊 據(jù)安全公司 G Data 近期一份報告稱，最近發(fā)現(xiàn)的遠(yuǎn)程訪問木馬 SocketPlayer 正在使用一個專門的程序庫 socket.io，操作者可以此與被感染的設(shè)備進(jìn)行交互，而不需要“信標(biāo)” 消息。

常規(guī)銀行木馬只單向通信

SocketPlayer 后門與大多數(shù)使用典型單向通信系統(tǒng)的銀行木馬、后門及鍵盤記錄程序不同，它通過使用 socket.io 庫，可在應(yīng)用程序之間實(shí)現(xiàn)實(shí)時的雙向通信，根據(jù)這個特性，惡意軟件處理程序不再需要等待被感染的設(shè)備啟動通信，攻擊者可以自行聯(lián)系被感染的計算機(jī)。

據(jù)稱，后門 SocketPlayer 一旦在被入侵的機(jī)器上安裝成功，便能接收操作者的命令并執(zhí)行各種操作，如嗅探驅(qū)動器、屏幕截圖、抓取和運(yùn)行代碼等。研究人員還發(fā)現(xiàn)，SocketPlayer 還能夠選擇性采用其他功能，例如，作為鍵盤記錄器，盡管在后門中沒有實(shí)際的鍵盤記錄功能。目前看似還沒有過具體使用情況。

SocketPlayer感染路徑

后門 SocketPlayer 的感染路徑始于 downloader 的沙盒系統(tǒng)檢測，如果通過檢測，downloader 會下載一個可執(zhí)行文件并進(jìn)行解密，然后使用 Invoke 方法在內(nèi)存中運(yùn)行該解密程序。

被調(diào)用的程序會為宿主創(chuàng)建一個套接字連接（宿主為http://93.104.208.17:5156/socket.io），同時還要創(chuàng)建一個可實(shí)現(xiàn)持久化的注冊表鍵。接下來檢查是否存在 Process Handler/ folder，如果沒有，就需要創(chuàng)建一個。之后，還需創(chuàng)建一個值為“Handler”的自動啟動鍵。

此外，SocketPlayer 還會下載另一個可下載 SocketPlayer 的可執(zhí)行文件，解密并在內(nèi)存中運(yùn)行。

兩個變種

G Data 的安全研究員在研究過程中發(fā)現(xiàn)了 SocketPlayer 后門的兩個變種：

第一個變種是一個大約100kb的文件，用以充當(dāng)可從網(wǎng)站上執(zhí)行任意代碼的 downloader；

第二個變種則具備更復(fù)雜的功能，包括檢測和規(guī)避沙箱機(jī)制。

據(jù) G Data 的技術(shù)報告稱，SocketPlayer 的第一個變種的第一個樣本已于3月28日首次提交給 VirusTotal（免費(fèi)的可疑文件分析服務(wù)網(wǎng)站），并在3月31日提交了該變種的第二個樣本。此外，SocketPlayer 的第二個變種也存在兩個版本。

安全研究人員注意到，SocketPlayer 的兩個變種之間經(jīng)歷了一系列的變化，包括：

命令和控制（C&C）端口

文件位置

初始流程所發(fā)送的信息

在服務(wù)器中新添加了命令

在惡意軟件中新添加功能

upldex 的存儲位置等

惡意軟件通過某印度網(wǎng)站分發(fā)

報告顯示，已知的惡意軟件樣本通過一個印度網(wǎng)站進(jìn)行分發(fā)，但尚不清楚后門如何傳播。但無論該網(wǎng)站是用于感染目的還是只是用于鏡像，顯然該惡意軟件在很長一段時間內(nèi)都未被注意到。