CosmicDuke 恶意软件（新型 MiniDuke）

病毒定义

它是什么？

CosmicDuke 于 2014 年被发现，使用仍然存在的 2013 旧版 Miniduke 植入物，并活跃于针对政府和其他实体的攻击活动中。在 2013 曝光后，Miniduke 攻击者开始使用另一种定制后门。主要的新型 Miniduke 后门（又名 TinyBaron 或 CosmicDuke）能够窃取各种信息。

虽然 Miniduke APT 攻击者在 2014 年初停止活动，或至少降低了活动强度，却在 2014 年早期再次全力恢复攻击。这一次，我们发现了攻击者的行为方式变化及其使用工具的方式发生了变化。

详细信息

主要的新型 Miniduke 后门（又名 TinyBaron 或 CosmicDuke）使用称为 BotGenStudio 的定制框架进行编译。该框架在构造机器人时，可以灵活地启用或禁用组件。

这些组件可以分为 3 组：

• 持续 — Miniduke/CosmicDuke 能够通过 Windows 任务计划程序启动
• 选点 — 恶意软件能够窃取各种信息，包括基于扩展名和文件名关键字的文件，例如 *.exe；*.ndb；*.mp3；*.avi；*.rar；*.docx；*.url；*.xlsx；*.pptx；*jpg；*.txt；*.lnk；*.dll；*.tmp 等。
• 渗漏 — 恶意软件实施多次网络连接以渗漏数据，包括通过 FTP 和三种 HTTP 通信机制变体上传数据。

我如何知道自己受到感染？

卡巴斯基实验室的产品将 CosmicDuke backdoor 检测为 Backdoor.Win32.CosmicDuke.gen 和 Backdoor.Win32.Generic。如果您已经有卡巴斯基的产品，应该已经检测到 CosmicDuke 恶意软件。如果您尚未安装卡巴斯基的产品，便需要下载和安装任意卡巴斯基反病毒产品并运行软件。