Google 在6月發表 64 位元 Chrome 瀏覽器時提到,升級至 64 位元版本的主要動機就是絕大多數的 Windows 使用者現在都已使用 64 位元作業系統。儘管 64 位元 Windows 作業系統的普及率比 Microsoft 原先預期的稍慢一點,但卻一直有穩定成長,而且軟體開發廠商的支援度也有顯著提升。但不幸的是,駭客也同樣跟進,推出 64 位元惡意程式。
趨勢科技已記錄了多個擁有 64 位元版本的惡意程式,包括 64 位元版本的 ZeuS 在內,而同樣的情況也出現在鎖定APT 攻擊/目標攻擊上。事實上,根據我們的「2013 年下半年鎖定APT 攻擊/目標攻擊趨勢」報告指出,在所有鎖定目標相關惡意程式當中,有 10% 僅能在 64 位元平台執行。
KIVARS:早期版本
趨勢科技所發現的64 位元惡意程式其中之一就是 KIVARS。根據我們的發現,該惡意程式的早期版本僅會影響 32 位元系統,並且是透過 TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) 這個惡意程式來植入系統。不過請注意,所有版本的 KIVAR 都會利用這個下載程式來安裝載入程式和後門程式。
當 TROJ_FAKEWORD.A 執行時,它會在系統植入 2 個執行檔以及一個密碼保護的 MS Word 文件,此文件的作用只是當成誘餌:
- %windows system%\iprips.dll – TROJ_KIVARSLDR
- %windows system%\winbs2.dll – BKDR_KIVARS
- C:\Documents and Settings\Administrator\Local Settings\Temp\NO9907HFEXE.doc – 誘餌文件
圖 1:TROJ_KIVARSLDR 會安裝成名為「iprip」的服務。
TROJ_KIVARSLDR 會將 BKDR_KIVARS 載入記憶體中執行。BKDR_KIVARS 具備下列能力:
- 下載\上傳檔案
- 操控\執行檔案
- 列出所有磁碟機
- 解除安裝惡意程式服務
- 擷取螢幕畫面
- 啟動\關閉鍵盤側錄程式
- 操控前景視窗 (顯示、隱藏)
- 觸發滑鼠左鍵、右鍵點選以及點兩下
- 觸發鍵盤輸入
TROJ_FAKEWORD.A 會利用「強制由左至右書寫」(RTLO) 技巧並結合 MS Word 文件圖示來讓使用者誤以為它只是個一般的文件檔案,這兩項技巧之前就曾經出現在 PLEAD。 繼續閱讀
