Wirelurker指令控制服務器被關,驚現Windows版本
責編:admin |2014-11-10 15:38:25最近紐約時報爆料中國的蘋果用戶正遭受史上最大iOS惡意軟件(WireLurker)攻擊,發現此次攻擊的PaloAlto Networks公司曾透露WireLurker主要通過中國第三方Mac應用商店麥芽地傳播,過去六個月感染了數十萬用戶的設備。但是最新的調查顯示,WireLurker還有一個比OS X版更古老的Windows版本,而且主要傳播渠道也不是麥芽地而是華為和百度的網盤。
Palo Alto Networks的研究人員曝光了在中國第三方蘋果商店麥芽地傳播的惡意程序WireLurker,隨后其指令控制服務器就被關閉, 而蘋果也撤銷了WireLurker使用的數字證書,WireLurker使用的證書來自湖南浪雄廣告裝飾工程有限公司。
惡意程序WireLurker不 是托管在麥芽地而是中國的云儲存服務商華為和百度。一旦用戶下載和執行被感染的程序,它會在程序運行前丟下多個可執行庫和配置文件,它的一個指令控制服務 器位于香港。
WireLurker被認為是主要針對Mac OS X和iOS系統,但研究人員剛剛在官方博客上報告發 現了它的Windows變種,對Windows樣本的分析證實它比OS X版古老,也是設計感染iOS系統,但沒有OS X版成功。
Windows樣本是一名叫ekangwen206的用戶上傳到百度云盤的(如圖),共上傳 247個文件,其中180個是Windows軟件,67個是OS X應用。百度云盤的下載統計顯示,這些木馬被下載了65,213次。所有的Windows樣本都是在一臺 Windows XP電腦上編譯的。Windows和OS X用戶都可以使用Palo Alto Networks開發的WireLurker Detector檢查電腦有沒有感染WireLurker。