恶意软件Necurs新增截屏+报告错误功能

10月20日讯 恶意软件家族日新月异，尤其有些恶意软件的更新相当引人关注。Necurs一直未停止发展更新的步伐。赛门铁克公司公司表示，Necurs刚刚经历了“令人关注”的更新。



Necurs

Necurs不止是一款恶意软件的名称，同时也是这款恶意软件通过被感染电脑构建的僵尸网络。

在安全研究行业者看来，Necurs恶意软件是一款“下载器”或“加载器”，仅包含三大主要功能：

• 在被感染电脑上获得Boot持久性。

• 收集被感染主机的遥测数据。

• 下载并安装第二阶段的Payload。

  
  

Necurs恶意软件通过Necurs肉鸡或被黑网络服务器发送的垃圾邮件进行传播。

Locky勒索软件的主要传播途径为Necurs僵尸网络，其实际操作是：Necurs僵尸网络传播Necurs下载器，下载器随后安装Locky勒索软件。

Necurs下载器新增两大功能

Necurs下载器通常被人忽略，因为它属于小工具，显得无关紧要。然而，赛门铁克的研究人员最近发现Necurs新增两大主要功能。

• 第一，新增Powershell脚本，可对被感染设备进行截屏，并将截图上传至远程服务器。

• 第二项功能是内置错误报告功能，负责监控Necurs下载器的错误，记录问题，并将信息返回给Necurs操作人员。

  
  

其它恶意软件家族也包含此类功能，但研究人员从未在下载器中见过这些功能。

威胁攻击者正搜寻有价值的主机

赛门铁克表示，新增截图功能可能说明Necurs操作人员正在搜寻感染设备的更多线索，此外，操作员还会在感染设备后收集遥测数据——当攻击者感染更具价值的环境时（例如运行专业办公软件的环境），这些信息会大有裨益。

开发者新增错误报告功能意在收集数据改进应用，毕竟不能指望受害者报告错误和问题。

赛门铁克还提供了Necurs近几年的垃圾邮件图。据报道，Necurs僵尸网络目前正忙着传播Locky勒索软件和TrickBot银行木马。