content/zh-cn/images/repository/isc/2017-images/malware-img-14.jpg
病毒定义

它是什么?

CosmicDuke 于 2014 年被发现,使用仍然存在的 2013 旧版 Miniduke 植入物,并活跃于针对政府和其他实体的攻击活动中。在 2013 曝光后,Miniduke 攻击者开始使用另一种定制后门。主要的新型 Miniduke 后门(又名 TinyBaron 或 CosmicDuke)能够窃取各种信息。

虽然 Miniduke APT 攻击者在 2014 年初停止活动,或至少降低了活动强度,却在 2014 年早期再次全力恢复攻击。这一次,我们发现了攻击者的行为方式变化及其使用工具的方式发生了变化。

详细信息

主要的新型 Miniduke 后门(又名 TinyBaron 或 CosmicDuke)使用称为 BotGenStudio 的定制框架进行编译。该框架在构造机器人时,可以灵活地启用或禁用组件。

这些组件可以分为 3 组:

  • 持续 — Miniduke/CosmicDuke 能够通过 Windows 任务计划程序启动
  • 选点 — 恶意软件能够窃取各种信息,包括基于扩展名和文件名关键字的文件,例如 *.exe;*.ndb;*.mp3;*.avi;*.rar;*.docx;*.url;*.xlsx;*.pptx;*jpg;*.txt;*.lnk;*.dll;*.tmp 等。
  • 渗漏 — 恶意软件实施多次网络连接以渗漏数据,包括通过 FTP 和三种 HTTP 通信机制变体上传数据。

我如何知道自己受到感染?

卡巴斯基实验室的产品将 CosmicDuke backdoor 检测为 Backdoor.Win32.CosmicDuke.gen 和 Backdoor.Win32.Generic。如果您已经有卡巴斯基的产品,应该已经检测到 CosmicDuke 恶意软件。如果您尚未安装卡巴斯基的产品,便需要下载和安装任意卡巴斯基反病毒产品并运行软件。

CosmicDuke 恶意软件(新型 MiniDuke)

什么是 CosmicDuke 恶意软件威胁、它会做什么、以及您是否受到了感染?了解详情。
Kaspersky Logo