最近,安全研究人员发现了一款具有潜在威胁的跨平台恶意软件家族——PWOBot。
Palo Alto Networks发现了一个新型恶意软件家族,可以攻击多种平台,包括Windows,Linux,以及OS X等。 这一发现对全球网络用户而言,无疑是一个令人沮丧的坏消息。
基于Python的恶意软件已经蔓延至整个Windows系统
该恶意软件是基于Python编辑的,根据Palo Alto Networks的研究表明,截至目前,该恶意软件正大规模在波兰的整个Windows操作系统蔓延。然而,利用平台间的切换能力,该恶意软件很有可能实现在全球范围内的蔓延、运行。
该恶意软件已经被命名为“PWOBot”。Palo Alto Networks研究公司认为这款恶意软件非常特殊,因为根据Palo Alto Networks的威胁情报分析师Josh Grunzweig的说法,该恶意软件“是完全用Python编写,并通过PyInstaller编译生成一个Microsoft Windows可执行文件。”
Josh Grunzweig进一步补充说道:
“该恶意软件已经对欧洲(尤其是波兰)的相关组织造成了可见性影响。此外,该恶意软件是经由一个流行的波兰文件共享网络服务实现传递的。该恶意软件自身可以实现非常丰富的功能,包括下载和运行文件,执行Python代码,记录按键信息,再生一个HTTP服务器以及通过受害人的CPU和GPU挖掘比特币等。”
PWOBot恶意软件家族成员超过12人
PWOBot在过去几年的检测结果中被发现存在12种变体,但是它们都不具备跨平台的特征。最新发现的这款具备跨平台能力的PWOBot恶意软件,可谓让安全研究人员和操作系统开发商们感到了“火烧眉毛”的紧迫感。
Grunzweing进一步解释说:
“攻击者利用PyInstaller将这个Python代码转换成为一个MicrosoftWindows可执行文件。然而,由于Python正在被使用,所以它可以很容易地被移植到其他的操作系统中,如Linux或OS X。”
该恶意软件首先卸载之前的旧版本,然后安装一个带有明显恶意企图的新版本。要做到这点,该恶意软件需要查询并运行 registry keys,因为绝大多数的旧版本都是利用一个特定的‘pwo[VERSION]’模式来运行注册表的。这里的[VERSION]指的是PWOBot的版本号。一旦它的新版本被安装,该恶意软件会创建一个可执行文件的副本,并将其保存到这个位置:%HOMEPATH%/ PWO[VERSION]。
这种恶意软件家庭之所以如此危险的原因,不仅在于它具有跨平台的特性,还有它独特的模块化设计等方面的因素。
发表评论