BKDR_POISON 未来将更加危险

　　以下是我们所知有关Nitro Attack恶意下载程序的资料：

　　它可从一个网址下载一个内含 shellcode 的纯文字文件。接着，它会将这些纯文字内容转成可执行的程序代码。

　　Shellcode“不会”储存。

　　接着下载程序会执行此恶意程序代码。

　　以下是趋势科技对 BKDR_POISON 的了解：

　　它很容易整合至其他恶意程序。

　　它具备后门程序功能，而且也曾用于过去出现的攻击当中。

　　由于上述恶意下载程序的行为变化多端，而且目前的功能还在阳春阶段，因此，网络犯罪者应该会继续加以强化，未来将更难对付。此外，若将它和 BKDR_POISON 结合，由于后者曾参与过许多锁定特定目标的攻击，因此，对信息安全研究人员来说将是一大挑战。以下是这类威胁组合可能发展的一些状况：

　　状况 1：如果 HTML 经过加密或者 shellcode 隐藏在图片中，例如透过信息隐藏术 (Seganography)，就威胁分析师的角度来看，研究人员可能会因为 URL 指向了一个图片而以为它没有作用。但使用者将因为这个 URL 没有被封锁而陷于危险当中。事实上，TDL4 便运用了信息隐藏术。

　　直接将 shellcode 本身加密，或许更让研究人员头痛。因为，万一解密的程序代码是内建在恶意下载程序当中，那么，在取得恶意下载程序的样本之前，研究人员将无法分析 shellcode。

　　ZBOT 就运用到这项技巧。ZBOT 会将组态设定文件加密，而且研究人员唯有配合对应的二进制文件才有办法正确进行分析。

　　状况 2：服务器端会检查连上它的使用者 IP 位址或地点，并且视不同地点传回不同的恶意文件。如果受感染的使用者位于中国，但分析人员在美国，那么二者所拿到的 shellcode 就可能有所不同。一旦分析端与感染端的结果有异，那就很难清除使用者的感染。

　　状况 3：客户已经遭到感染，但相关的 URL 却已无法连上。威胁分析师可能会不晓得使用者遇到什么状况，因为已经无法取得当初的 shellcode。这类恶意下载程序很可能会让我们完全摸不着头绪。

　　当然，这类情况也并非完全无解，只是难度更高。而且，下载的二进制程序代码“并未”储存成实体文件，也增加了问题的挑战性。不过，藉由信誉评等和云端技术，这样的情况还是能够改善。

(责任编辑：)