網絡安全公司Cofense於上週發文稱,他們已經發現了一種被稱爲“Vengeance Justice Worm(Vjworm)”的新型計算機病毒。這種病毒被證實能夠以多種形式給受感染系統造成破壞,包括信息竊取、拒絕服務(DoS)***和自我傳播等。
Cofense表示,Vjworm實際上結合了蠕蟲病毒(Worm)和遠程訪問***(RAT)的能力,在最近的網絡釣魚活動中使用與銀行業務相關的誘餌。 除了具有多重破壞性之外,Vjworm還是公開可用的。也就是說,即使是低水平的***也可以使用它來***任意組織。
技術細節
在最近的網絡釣魚活動中,一些垃圾電子郵件使用與銀行業務相關的誘餌來傳播上面提到的Vjworm計算機病毒。從本質上講,VJWorm是一種公開可用的模塊化JavaScript遠程訪問***。除了上面提到的功能之外,它還可以被用作其他有效載荷(Payload)的下載程序(Downloader)。
根據Cofense的說法,每個Vjworm樣本都有一個對應於JS文件的唯一標識號。這個標識號可以在運行的內存字符串和JS文件中看到,會在解密算法中用的。雖然JS文件似乎是採用阿拉伯文編寫的,但編碼的字符串實際上是轉換成阿拉伯文的JS代碼字符。這是通過將主源代碼解碼爲Unicode,然後解析字符以獲取字符代碼來實現的。在簡單地計算了標識號的長度之後,將結果添加到字符代碼中。然後,使用“String.fromCharCode()”函數將結果轉換爲阿拉伯文。
圖1.內存字符串中的標識號
圖2.JS文件中的標識號
信息竊取
如上所述,Vjworm也可以充當信息竊取程序。在成功執行之後,它便會開始收集信息,並對機器進行有效的指紋識別。然後,它會將收集到的信息附加到對C2 服務器的HTTP POST請求(的User-Agent字段)中。
默認情況下,POST將發送到主機的“/Vre”子目錄。圖3展示了User-Agent字段對數據和默認子目錄的使用。
圖3.附加到User-Agent字段中的信息
具體來講,Vjworm會查看cookie會話數據、剪貼板字符串,並嘗試竊取用戶憑證。圖4展示了在內存字符串中看到的cookie收集功能:
圖4.Vjworm收集的cookie數據
此外,Vjworm還能夠通過連接到C2服務器來獲取進一步的指令,並具備跨端點自我傳播功能。Vjworm的操作控制面板允許***者通過文件傳輸協議(FTP)將其他有效載荷發送到端點,並在端點上進行執行。需要指出的是,這種方式甚至可以迫使端點通過指定鏈接下載並執行有效載荷。這使得***者能夠隨時切換C2 服務器,進而保持隱匿性。
圖5.Vjworm操作控制檯
圖6.進程內存中的連接字符串
拒絕服務(DoS)***
Vjworm可以部署幾種不同類型的DoS***,包括洪泛DoS***。此外,它還具備一些類似僵屍網絡的功能,包括域名服務(DNS)請求操作,以及發送和接收垃圾電子郵件。
圖7.內存中的DoS字符串
圖8.與DNS操作功能相關的字符串
自我傳播
如上所述,Vjworm還具備蠕蟲特性,能夠通過可移動驅動器傳播。具體來講,它會通過掃描受感染系統來查找連接的任何DriveType 2設備,以便它可以將自身複製到這些設備上。一旦複製完成,它就會將這些設備上的所有文件和文件夾設置爲“隱藏”。然後,創建一個圖標,並使用先前隱藏的文件的文件名之一對其進行命名。這個圖標實際上是一個快捷方式,打開它會導致Vjworm副本的執行。
此外,Vjworm還可以在整個操作系統和啓動文件夾中進行自我複製,且能夠編輯註冊表項,以便腳本可以在操作系統中長期隱藏和駐留。