国家计算机病毒应急处理中心通过对互联网的监测发现FormBook信息窃取恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。
在过去的一年中,最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-2017-8570漏洞。具体而言,攻击者会使用包含恶意代码的.RTF格式文件来利用这一漏洞。
FormBook使用了反分析技术来阻止恶意软件研究人员调试和分析恶意软件。FormBook首先会遍历受害者主机上正在运行的进程。如果存在任何列入黑名单的进程,那么Payload将会停止感染计算机。
该恶意软件使用了大量的反分析技术,例如:黑名单中的进程列表、虚拟机检测机制、内存中字符串混淆等,这些都是为了避免配置中的memdump,从而防止被安全研究人员发现相关的字符串。该恶意软件可能会尝试向浏览器注入代码,然后尝试在相关函数上设置挂钩,以从浏览器中窃取数据。
针对该恶意程序所造成的危害,建议用户做好安全防护,在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版,以免使电脑受到该恶意程序的危害。
|