2011年10月，我們記錄了一種有目標(biāo)的特殊攻擊活動，即Nitro攻擊。在當(dāng)時的攻擊情況中，攻擊者主要以化工企業(yè)為攻擊目標(biāo)。盡管我們投入精力揭露并公布了這些攻擊幕后的詳情，但這些攻擊者們依然明目張膽，甚至在他們的社會工程活動中使用我們自己的報告！

不過，這些攻擊者們也在快馬加鞭。目前已經(jīng)觀察到對一種新型Java零日差漏洞的利用正在擴散。我們可以確定，此輪攻擊背后的部分攻擊者正是Nitro團伙。

Nitro攻擊者一貫采用的手法就是向受害者發(fā)送一封電子郵件。這封電子郵件包含一個附件，該附件是受密碼保護的自解壓zip文件。這封電子郵件自稱是對經(jīng)常安裝的軟件中某個組件的更新。淪為攻擊目標(biāo)的用戶解壓縮并運行該文件后，便會感染Backdoor.Darkmoon（也稱作 Poison Ivy）的一份副本。

在這些最新的攻擊中，攻擊者們形成了一種更為復(fù)雜一些的伎倆。他們采用以.jar文件形式寄宿在網(wǎng)站上的Java零時差攻擊方式來感染受害者。正如在之前記錄的攻擊中所表現(xiàn)出來的行為那樣，這些攻擊者們使用 Backdoor.Darkmoon重用命令和控制基礎(chǔ)架構(gòu)，甚至重用諸如Flash_update.exe之類的文件名。可能這些攻擊者會向鎖定為目標(biāo)的用戶發(fā)送電子郵件，而郵件中則包含了指向惡意jar文件的鏈接。Nitro攻擊者們似乎仍在繼續(xù)實施他們之前的惡行。

Oracle已經(jīng)發(fā)布了一款修補程序（即Java SE 7更新 7），此修補程序可解決CVE-2012-4186所述的漏洞。建議用戶下載這項最新更新。

熱點病毒

病毒名：Backdoor.Hikit

病毒類型：Trojan

受影響系統(tǒng)：Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Backdoor.Hikit是一種在被感染的計算機上打開后門的木馬。該木馬在運行時，會創(chuàng)建如下文件：%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接著它會釋放一個32位或者64位的驅(qū)動（這取決于用戶的操作系統(tǒng)）：

%System%\drivers\W7fw.sys

然后該病毒會用未經(jīng)驗證的認證引導(dǎo)這個驅(qū)動，同時也會修改相應(yīng)的注冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"

該病毒允許遠程攻擊者在被感染的計算機上完成下列的命令：

打開通過SOCKS5 proxy的連接

下載文件到被感染的計算機上

上傳文件到遠程位置

開啟一個command shell

停止執(zhí)行

資料來源：賽門鐵克互聯(lián)網(wǎng)疫情通報