一年之前,安全研究人員從殺毒廠商卡巴斯基發現了一個復雜的惡意軟件,他們稱為 MiniDuke,專門收集和竊取戰略信息和受到高度保護的政治信息。
現在,MiniDuke病毒再次通過一個與烏克蘭相關的PDF文件在傳播。
“考慮到當前該地區的危機,這是件很有趣的事情”安全研究公司F-Secure公司的首席技術官Mikko Hypponen在周二寫到。
Hacker News一年前報道了該exp利用的CVE-2013-0640。
MiniDuke惡意軟件是用匯編編寫的,非常小只有20KB,可以劫持Twitter賬戶。
該惡意軟件由三個部分組成: PDF文件, MiniDuke程序和payload。
打開PDF溢出之后,會移除payload,PDF的內容設計人權,烏克蘭的外交政策,加入北約計劃。
受感染的計算機會通過Twitter或Google接收加密的指令,一旦計算機受到感染就會連接到發送指令的服務器,它開始通過GIF圖像文件接收加密的后門。一旦安裝,它可以復制,刪除,刪除文件,創建數據庫,停止進程并下載新的惡意軟件,也可能會植入其它木馬程序。
F-Secure公司還提供了幾個被認為更有可能從已經存在的和扭曲烏克蘭有關的文件截圖。
MiniDuke的作者所做的惡意軟件似乎熟悉殺毒軟件,這使得它與其它病毒不同的工作原理。該惡意軟件包含一個后門,允許它繞過系統的分析,并在病毒被檢測到的情況下,會阻止惡意行為,消失在系統當中。
MiniDuke惡意軟件之前就攻擊力比利時,巴西,保加利亞,捷克共和國,格魯吉亞,德國,匈牙利,愛爾蘭,以色列,日本,拉脫維亞,黎巴嫩,立陶宛,黑山,葡萄牙,羅馬尼亞,俄羅斯聯邦,斯洛文尼亞,西班牙,土耳其,美國政府機構英國,美國,包括烏克蘭。