BLADABINDI(也被稱為njRAT/Njw0rm)是一種遠端存取工具(RAT),具備了鍵盤側錄、執行分散式阻斷服務攻擊” (DDoS)攻擊等眾多後門功能,一再地被重複運用在各種網路間諜活動中。事實上,BLADABINDI的可客製性及可從網路地下世界取得讓它成為一種常見的惡意威脅。趨勢科技前幾日就發現了一隻蠕蟲病毒Worm.Win32.BLADABINDI.AA,它會透過行動碟來散播並安裝無檔案版本的BLADABINDI後門程式。
雖然仍無法確切知道惡意檔案如何進入受感染系統,但其散播行為顯示出它會透過行動碟來進入系統。AutoIt除了是一種靈活且易於使用的腳本語言外,BLADABINDI如何去濫用它也很令人關心。它利用AutoIt(FileInstall命令)來將後門程式和主腳本編譯成單一的執行檔,讓後門程式難以被偵測到。
圖1:截圖顯示出常見的AutoIt編譯腳本標示(用紅色框圈出)