國家計(jì)算機(jī)病毒應(yīng)急處理中心通過對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)FormBook信息竊取惡意軟件��。與大多數(shù)其他信息竊取類惡意軟件一樣���,它在部署到受害者的計(jì)算機(jī)上時(shí)��,會(huì)執(zhí)行許多操作來逃避反病毒廠商產(chǎn)品的檢測(cè)����。
在過去的一年中�,最常用的分發(fā)FormBook惡意軟件的方法是借助惡意釣魚郵件并利用CVE-2017-8570漏洞。具體而言�,攻擊者會(huì)使用包含惡意代碼的.RTF格式文件來利用這一漏洞。
FormBook使用了反分析技術(shù)來阻止惡意軟件研究人員調(diào)試和分析惡意軟件���。FormBook首先會(huì)遍歷受害者主機(jī)上正在運(yùn)行的進(jìn)程��。如果存在任何列入黑名單的進(jìn)程�����,那么Payload將會(huì)停止感染計(jì)算機(jī)。
該惡意軟件使用了大量的反分析技術(shù)�,例如:黑名單中的進(jìn)程列表、虛擬機(jī)檢測(cè)機(jī)制����、內(nèi)存中字符串混淆等�,這些都是為了避免配置中的memdump��,從而防止被安全研究人員發(fā)現(xiàn)相關(guān)的字符串����。該惡意軟件可能會(huì)嘗試向?yàn)g覽器注入代碼,然后嘗試在相關(guān)函數(shù)上設(shè)置掛鉤���,以從瀏覽器中竊取數(shù)據(jù)����。
針對(duì)該惡意程序所造成的危害�����,建議用戶做好安全防護(hù)�����,在所使用的計(jì)算機(jī)中安裝安全防護(hù)軟件���,并將病毒庫版本升級(jí)至最新版���,以免使電腦受到該惡意程序的危害���。