@ 2016.08.13 , 16:00
40

这个恶意软件竟然已经潜伏了五年

安全研究人员已宣布他们发现了先进恶意软件平台,它已至少潜伏操作五年。

[-]

专家表示,ProjectSauron如此先进以至于它很有可能是国家支持的黑客项目,即由国家情报局赞助。

该恶意软件自2011年开始变得活跃,它以俄罗斯、中国、瑞典和其它国家知名度较高的网络为目标。

计算机安全公司Symantec和Kaspersky实验室的研究人员们共同检测到了这一恶意软件,目前为止已有三十个站点被感染,其中包括中国某航空公司、比利时某大使馆和瑞典某个身份不明的组织。

不同于感染常规PC的恶意软件,ProjectSauron(又名Remsec)的目标更加明确,不过它在普通的微软Windows平台上运行。

该恶意软件会渗透政府、军事网站、科学研究中心和企业IT系统运行的网站。它的目标是监测这些被感染的网站,给受损的系统开后门,窃取个人信息。

[-]

ProjectSauron之名来自该恶意软件代码里的“Sauron”参考,Symantec表示它由不明身份的黑客组织Strider创造,他们以喜欢用指环王里角色作为参考而出名。

安全专家之所以这么久才检测到ProjectSauron的存在,是因为该程序隐形,攻击者使用独特的代码来攻击不同的对象。这意味着该恶意软件不会触发计算机科学家在恶意代码中寻找的危险信号。

虽然它从2011年开始就在活跃,但去年Kaspersky实验室才发现它的踪影,当时该公司受某顾客的委托来查找网络流量异常的原因。

ProjectSauron有一些隐形功能,它在可执行目标中储存组件,这使得它难以被传统杀毒软件找到。它还能通过USB感染没有连接到因特网的计算机。它只存在于计算机的内存中,不会被储存到磁盘里。

好消息是由于研究人员们意识到了ProjectSauron的存在,它的大部分活动已经中止,但他们无法保证会一直如此。毕竟这一复杂的恶意软件平台肯定有某个政府支持。

Kaspersky实验室解释道:“ProjectSauron需要很多专家团队,其预算可能高达数百万美元……我们意识到已经有三十多个组织被攻击了,但我们确定这只是冰山一角。”

本文译自 ScienceAlert,由译者 肌肉桃 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

3.7
赞一个 (43)

TOTAL COMMENTS: 40+1

  1. Rigaynna
    @1 year ago
    3226989

    我就知道我看不出个所以然

    [116] XX [4] 回复 [0]
  2. 红茶
    @1 year ago
    3226990

    360是最大的恶意软件

    [181] XX [83] 回复 [0]
  3. 一一
    @1 year ago
    3226994

    还有某恶意掰弯网站,存在五年多了吧

    [200] XX [7] 回复 [0]
  4. 罗琦
    @1 year ago
    3226995

    为什么没有鹰酱?

    [20] XX [4] 回复 [0]
  5. 鱼鱼
    @1 year ago
    3226997

    它只存在于计算机的内存中,不会被储存到磁盘里。

    断电就能杀毒????

    所以这是针对不能断电的服务器的病毒??????

    [117] XX [11] 回复 [0]
  6. 3227000

    不管你手气好坏,被对手偷看牌,会彻底改变局势

    [38] XX [3] 回复 [0]
  7. 精虫上脑
    @1 year ago
    3227003

    我有这个样本,还没开始分析。不过好像没文章说得这么神。你们都知道的,行业外的文章总是吹得特别玄乎,尤其是对于黑客这行来说。

    [89] XX [3] 回复 [0]
  8. 幕后煮屎者
    @1 year ago
    3227009

    @揍er: 国家之间偷看对方牌也是打牌的一个步骤,不服不要玩。

    [58] XX [3] 回复 [0]
  9. 3227013

    这我也看着像美帝阴谋啦

    [11] XX [1] 回复 [0]
  10. 小猪
    @1 year ago
    3227019

    我凑,还以为想说win10

    [16] XX [0] 回复 [0]
  11. 左在存
    @1 year ago
    3227024

    除了美帝想不到第二个嫌疑人了

    [21] XX [4] 回复 [0]
  12. 逗比
    @1 year ago
    3227032

    @揍er: 不一定,我看了看手中的俩王四个二还有一个长顺,默默的点了明牌

    [25] XX [0] 回复 [0]
  13. 3227036

    我的电脑非常旧,有种木马的特征是这样的,你的文本文档,自动换行启动后,自动换行的地方会在存档后变成真实换行,所以我很少用电脑打字。

    [4] XX [10] 回复 [0]
  14. 3227038

    @逗比: 巧了,对方牌跟你一模一样

    [16] XX [0] 回复 [0]
  15. 3227039

    一定是在美朝鲜人干的

  16. 月巳末
    @1 year ago
    3227050

    竟然不是qq 360或者淘宝

  17. 欧耶
    @1 year ago
    3227059

    @NEO: 这是记事本的bug,即使你保存了,发现变成硬换行了,重新打开还是正常的。

  18. 天之弃子
    @1 year ago
    3227072

    腾讯不服

  19. 3227086

    @揍er: 我是地主,我先出了,看牌:33 44 55 66 77 88 99 1010 JJ QQ,春天!

  20. 孔涛罗
    @1 year ago
    3227093

    标题一股朋友圈味

  21. 3227137

    它只存在于计算机的内存中,不会被储存到磁盘。

    那就是说只能不停传播,一停下来断电就死喽?

  22. 3227139

    赛门和卡巴造的,没跑了.

  23. 3227146

    只存在于内存中是如何做到的

  24. 3227164

    博弈的能力可以让双方手牌即使都知道对方的牌也能打败对方,而且无法逆转。

  25. 3227171

    @鱼鱼 内存病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”,因而又称“鬼影病毒”。

    [30] XX [3] 回复 [0]
  26. 3227173

    @鱼鱼:

  27. 3227281

    @lcgod: 换个硬盘呢?

  28. 精虫上脑
    @1 year ago
    3227343

    @zcw: 不用那么麻烦。之所以不能删除是因为hook了操作系统的api导致看起来删了实际没删。用其他设备重写mbr就可以了。

  29. 不想上网了
    @1 year ago
    3227364

    我中了一个奇怪的病毒,只要是联网的地方都有网页广告,京东百度什么的。有时候腾讯消息弹窗,窗的中间也有这个广告,( سـ_سـ )变相的说,帮我拦截了腾讯咩。。。

  30. 作为游客瞎BB
    @1 year ago
    3227559

    Project 360

  31. 飞蛾
    @1 year ago
    3227658

    我以为你说金山毒霸

  32. 3227703

    好久不来 看到大家逼格还是这么高我就放心了

  33. 鸡蛋
    @1 year ago
    3227737

    @lcgod:
    你说的技术未免太老太旧了点,现在新的个人电脑都没MBR什么事了,再说还有SecureBoot
    这个真的就是不写磁盘的,躲在受害组织的各台服务器的内存里窃取局域网内各种情报的

  34. 尼姑了湿
    @1 year ago
    3227768

    只存在于内存中,不写入磁盘~ 还可以通过优盘传播。。。优盘难道是内存么?

  35. 3227896

    这代码看上去是lua嘛

  36. 扬帆大海
    @1 year ago
    3227907

    @不想上网了: 应该是你的宽带运营商搞的鬼。。。

  37. 3228269

    @鱼鱼, 这个地方是新闻报道原文写的不对的地方。 我看了kaspersky的研究报告。
    这个病毒的设计是这样的: 它系统服务组件挂钩并且注册为系统关键服务,可执行代码在感染后全部根据系统信息本地化,然后尽量不存储信息,必须存储时伪装为合法程序比如微软的补丁等。
    比较牛逼的是全部本地化,这样一来传统杀毒根据特征码的方式处理根本无法防御,因为对其而言没有统一的特征码。

  38. 3228535

    MBR什么的,我每次装windows 都用diskpart>clean。

  39. 黑腹蜀黍
    @1 year ago
    3228851

    居然没有人说金山,难道你们都装了……

发表评论


24H最赞