病毒定义
它是什么?
CosmicDuke 于 2014 年被发现,使用仍然存在的 2013 旧版 Miniduke 植入物,并活跃于针对政府和其他实体的攻击活动中。在 2013 曝光后,Miniduke 攻击者开始使用另一种定制后门。主要的新型 Miniduke 后门(又名 TinyBaron 或 CosmicDuke)能够窃取各种信息。
虽然 Miniduke APT 攻击者在 2014 年初停止活动,或至少降低了活动强度,却在 2014 年早期再次全力恢复攻击。这一次,我们发现了攻击者的行为方式变化及其使用工具的方式发生了变化。
详细信息
主要的新型 Miniduke 后门(又名 TinyBaron 或 CosmicDuke)使用称为 BotGenStudio 的定制框架进行编译。该框架在构造机器人时,可以灵活地启用或禁用组件。
这些组件可以分为 3 组:
- 持续 — Miniduke/CosmicDuke 能够通过 Windows 任务计划程序启动
- 选点 — 恶意软件能够窃取各种信息,包括基于扩展名和文件名关键字的文件,例如 *.exe;*.ndb;*.mp3;*.avi;*.rar;*.docx;*.url;*.xlsx;*.pptx;*jpg;*.txt;*.lnk;*.dll;*.tmp 等。
- 渗漏 — 恶意软件实施多次网络连接以渗漏数据,包括通过 FTP 和三种 HTTP 通信机制变体上传数据。
我如何知道自己受到感染?
卡巴斯基实验室的产品将 CosmicDuke backdoor 检测为 Backdoor.Win32.CosmicDuke.gen 和 Backdoor.Win32.Generic。如果您已经有卡巴斯基的产品,应该已经检测到 CosmicDuke 恶意软件。如果您尚未安装卡巴斯基的产品,便需要下载和安装任意卡巴斯基反病毒产品并运行软件。