基于Java的木马用于攻击超过400,000个系统

Gerd Altmann（CC0）

＃drr-container p.large.video {边框底：0无; p＃page-lede.thm-gallery #bcplayer-galler＃bcplayer-gallery_ad> p {width：100％;高度：100％;转换：所有0.5s轻松;}。jwplayer.jw-natus-paused .jw-display {显示：表！重要;填充：0;}。jwplayer .jw-display-icon-container {float：none;填充：0;利润：0;}。JW-FLAG-SMALL-PLAYER .JW-DISPLAY {Padding-Top：0px;}。jwplayer .jw-display-icon-container .jw-icon-rewind {可见性：隐藏;隐藏;}。jwplayer .jw-display-icon-container .jw-icon-next {可见性：隐藏;隐藏;}。jwplayer。 JW-Display-icon-container .jw-icon-display .jw-svg-icon-play路径，.jw-state-idle .jw-svg-icon-play path，.jwplayer .jw-display-icon-container。 JW-icon-display .jw-svg-icon-replay路径，.jw-state-complete .jw-svg-icon-replay路径{display：none; jwplayer .jw-display-icon-container .jw-icon -display .jw-svg-icon-play，.jw-state-idle .jw-svg-icon-play，.jwplayer .jw-display-icon-container .jw-icon-display .jw-svg-icon-replay ，.jw-state-complete .jw-svg-icon-replay {背景大小：包含;背景 - 重复：无重复;背景颜色：透明;背景 - 图片：URL（// idge.staticworld.net/idgtv/btn-play-default.svg）;背景位置：中心中心;底部：0;边界半径：0;盒子阴影：没有;剩下：0;保证金：汽车;正确的：0;最佳：0;}。jwplayer .jw-display-icon-container .jw-icon，.jwplayer .jw-display-icon-container .jw-icon-display .jw-svg-icon-play，.jw-state-idle。 jw-svg-icon-play，.jwplayer .jw-display-icon-container .jw-icon-display .jw-svg-icon-replay，.jw-state-complete .jw-svg-icon-replay {height：81px;宽度：78px;}

一台跨平台远程访问特洛伊木马，即从机会主义的网络犯罪分子到春季竞争对手组的服务，从机会主义的网络犯罪分子到Cyber​​espion群组，已被用来在过去三年中攻击超过400,000个系统。

鼠标（远程访问工具/特洛伊木马），根据变种，它被称为Adwind，Alienspy，Frutas，Unrecom，Sockrat，JRAT或JSocket，是恶意软件 - AS-Service模型如何用于恶意软件的证据创作者。

adwind是用java编写的，因此它可以在任何具有安装java运行时的操作系统上运行，包括Windows，Mac OS X，Linux和Android。自2012年以来，特洛伊木马一直在开发，并通过公共网站在开放中销售。

像大多数特洛伊木马一样，adwind可用于远程控制受感染的计算机;窃取文件，关键笔划和保存的密码;通过计算机的网络摄像头和麦克风录制音频和视频。由于它具有模块化架构，因此用户还可以安装扩展其功能的插件。

更多关于CSO：如何发现网络钓鱼电子邮件

Adwind作者来自卡巴斯基实验室的研究人员认为是一种讲西班牙语的唯一，正在销售对基于订阅的型号的大鼠，价格从25美元到每年300美元到300美元。买家获得技术支持，避开防病毒检测，虚拟专用网络帐户和使用多个防病毒发动机的免费扫描，以确保在部署时未检测到其样本的抗病毒检测。

卡巴斯基实验室估计，自2013年以来，攻击者试图通过各种版本的adwind感染超过440,000个系统。仅在8月和1月之间，攻击者在大约200多个用户达到了大约200个矛网络钓鱼活动中使用了大鼠。

Adwind的最新化身在2015年6月在Jsocket名称下推出，仍在销售。

“2015年，俄罗斯是最受袭击的国家，阿联酋和土耳其再次附近，以及美国，土耳其和德国，”卡巴斯基研究人员在博客岗位上说。

他们估计，到2015年底，大约1,800个Adwind / JSocket用户，将开发商的年收入超过20万美元。大量用户使其难以构建攻击者配置文件。从低水平诈骗者到网络节和私人辛勤人的人可以使用大鼠，并希望监测他们的合作伙伴或配偶。

12月，研究人员在多伦多大学全球事务学院与公民实验室合作，记录了一批针对来自几个南美国家的政治家，记者和公共PS的一组攻击者的活动。早期版本的Adwind称为Alienspy，被列为该组使用的恶意软件工具之一。

卡巴斯基实验室本身在新加坡的金融机构获得了一名经过旨在来自马来西亚主要银行的流氓电子邮件之后，在新加坡收到大鼠后，对Adwind进行了详细的调查。这是目标攻击的一部分，即该公司认为是由尼日利亚州的嫌疑人推出的，他们专注于金融机构。

“尽管有几次尝试取消和停止adwind开发人员分发恶意软件，但adwind已经幸存了多年，并且通过了重塑和运行扩展，从提供了对恶意软件的附加插件到自己的混淆工具和偶数a对于客户的FUD（完全未被发腐的恶意软件）保证，“卡巴斯基研究人员在一篇研究论文中表示。

由于adwind是用java编写的，它被分发为jar（java存档）文件并需要java运行时环境（JRE）来运行。一种可能的方法来防止其安装是将默认应用程序更改为将JAR文件处理到名记事本的内容。这将阻止代码执行，并且只会导致其中包含Gibberish文本的记事本窗口。

当然，如果计算机上安装的其他应用程序不需要JRE或其用户访问的网站，则应删除它。遗憾的是，在大多数商业环境中，因为Java仍然是业务应用程序的主要编程语言。

接下来阅读这21个最佳免费安全工具11顶级云安全威胁7忽略了网络安全成本，可以破坏您的预算8视频聊天应用程序：哪个最适合安全？Windows网络安全的4个支柱避免了数据泄露报告中的障碍和陷阱：Cisos需要知道什么Cisos必须是业务的学生