比特币加密器 Qbot 回归，感染 54,000 台计算机

Qbot 蠕虫，也称为 Qakbot比特币加密器，并不是新的恶意软件。 该恶意软件于 2009 年首次被发现，由于其源代码已被网络犯罪分子获取并不断改进以逃避检测，因此该恶意软件不断发展。 从 BAE Systems 的发现来看，他们似乎已经成功了。

恶意软件描述

85%的受感染系统位于美国，学术、政府、医疗等行业网络受到重创。 例如，皇家墨尔本医院的病理科在今年早些时候受到了严重影响。

典型的 Qbot 通过控制网络传播，托管 Rig Exploit Kit。 当用户使用受影响的计算机访问恶意网站时，提供渗透代码的混淆脚本会静默执行并将恶意软件安装到 Windows PC 上。

这是 Qbot 传播的一种常见方式比特币加密器，但攻击者也会以恶意电子邮件为目标的公司。

BAE Systems的报告指出，反病毒产品对Qbot的影响受到诸多因素的限制。 Qbot通过连接指挥控制中心获取更新，使用变异的外观，自行完成重新编译和加密，并使用基于服务器的多态性来逃避检测。

“Qbot 使用的基于服务器的多态性可以极大地限制 AV 检测，通常在 55 家 AV 供应商中，只有少数知名供应商可以可靠地检测 Qbot - 或者更具体地说是它的外部加密器。当然，大多数 AV 产品都可以检测到这一点同样的样本几天后，但 Qbot 通常每隔一到两天自动更新一次，这意味着它可以长时间不被发现。”

此外，该恶意软件可以检测它是否在虚拟机沙箱中运行，从而改变其行为以避免检测。

Qbot主要用于获取密码等用户凭证。 它试图从 Windows 的凭据存储中获取密码，泄露网络登录信息，并获取 Outlook、Windows Live Messenger、远程桌面和 Gmail Messenger 密码。 此外，Qbot还会尝试访问IE的密码管理器，窃取缓存的用户名和密码。 利用这些信息和从网络流量中获取的证书，攻击者可以进入FTP服务器，利用渗透代码工具包感染其他网站传播恶意软件。

Qbot 中还有一个后门功能，允许攻击者获取敏感数据和知识产权、破坏基础设施并将更复杂的恶意软件植入组织。

Qbot 正逐渐演变成一种更致命的威胁，但它有时仍无法避免攻击者自己犯下的错误。 当它感染一小部分过时的 PC 时，它会使它们崩溃——通知目标他们的网络存在问题，这可能导致恶意软件过早暴露。

比特币赞助打赏地址：13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD

----------------------------------

亮点、干货、原创、专业