安全掃描工具始終都是惡意軟件的死敵，絕大多數流行的惡意軟件和病毒都可以被掃描出來，然后將其從系統中剔除。但趨勢科技的研究人員最近發現了一種不使用文件執行的惡意軟件，從而導致掃描工具很難檢測到它的存在。

[[132775]]

這種無文件式的惡意軟件只存在于內存中，并被直接寫入目標計算機硬盤的RAM(隨機存儲器)中。如去年8月份發現的POWELIKS就是這樣一種惡意軟件，它能夠把惡意代碼隱藏在Windows注冊表中。

POWELIKS的高超感染手法被其他惡意軟件作者紛紛效仿，趨勢科技于近日在博客上介紹了一種典型的無文件式惡意軟件“變身僵尸”(Phasebot)。

脫胎于太陽僵尸

“變身僵尸”不僅具備惡意軟件包(rootkit)的特性，更重要的是它還擁有無文件執行的能力，它與一個2013年的惡意軟件“太陽僵尸”(Solarbot)擁有相同的功能。此外，“變身僵尸”還具備虛擬機檢測和外部模塊裝載功能。后者可以在受感染機器上添加移除功能。

與“太陽”相比，“變身”十分強調隱密和逃避機制。比如，在每次與命令控制器(C2)通信時，它都會使用隨機口令加密與C2的通信。而且，它還會檢測受感染設備上是否安裝了下列程序：

.NET Framework Version 3.5

Windows PowerShell

變身僵尸會查詢注冊表條目以找到特定程序

這兩種程序均為當前版本Windows的默認安裝程序。當檢測到這兩種程序時，變身僵尸就會在注冊表中惡意軟件的位置建立經過加密的惡意代碼鍵值：

· HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}鍵值Rc4Encoded32和Rc4Encoded64將存儲加密的32位和64位shell code。之后，它會建立另一個名為JavaScript的鍵值，用來解密和執行Rc4Encoded32和Rc4Encoded64。

如果在系統中沒有檢測到這兩種程序，變身僵尸會在用戶啟動項(%User Startup%)的文件夾中留下一份自身的拷貝。然后利用應用程序接口(API)完成一個用戶級別的rootkit，以使躲避典型終端用戶的發現。它利用NtQueryDirectoryFile來隱藏文件，利用NtQueryDirectoryFile來隱藏惡意軟件進程。

在僵尸主的指揮下，變身僵尸能夠執行諸如通過表單抓取器盜取信息，DDoS攻擊，自我更新，下載并執行文件，以及訪問網址鏈接等常規動作。

變身僵尸與Windows管理工具

變身僵尸之所以有趣就在于，它使用Windows的內置系統管理工具PowerShell來逃避安全軟件的檢測，通過PowerShell來運行它隱藏在注冊表中的組件。Windows 7或更高版本的操作系統默認安裝中都包括PowerShell，另一個程序.NET framework 3.5也是如此。

隨著Windows 7用戶的增加，變身僵尸的感染者越來越多，利用系統的默認管理工具擴大自身，無疑是一種很好的發展策略。

無文件式惡意軟件的未來

將來會有越來越多的惡意軟件作者采取并適應這種無文件的手法，他們將不滿足于僅僅使用Windows注冊表來隱藏惡意軟件，他們還將使用其他復雜高端的技術實施惡意行為，并無需在受感染的系統中留下文件。

對于一般用戶來說，這種無文件式惡意軟件是一個很大的安全威脅。通常用戶都被建議檢查可疑文件或文件夾，但不會去檢查注冊表，因此給這種惡意程序留下了可趁之機。

由于難于檢測，因此也就難于移除。對于安全廠商來說，它更是個挑戰，尤其是那些主要依靠基于文件檢測方式的廠商，因此他們需要開發新的檢測方法，比如行為監控。

原文地址：http://www.aqniu.com/tools/7425.html