研究人员称，AutoIt脚本语言因其灵活性和易用性的特点，已经被越来越多的恶意软件开发者利用，相应的恶意软件样本数量激增。

AutoIt是一个自动化的Windows界面交互的脚本语言，具有很高的灵活性和较低的学习曲线。然而最近，反病毒厂商趋势科技和BitDefender的安全研究人员发现，AutoIt的这种优势正在让它沦为一款恶意软件开发工具。

趋势科技的威胁研究员Kyle Wilhoit周一在其博客上称，他们最近监测发现，上传至Pastebin的恶意AutoIt工具代码数量持续上升。这种情况让人十分担忧，拿一个常见的工具——键盘记录器来举例，心怀不轨的人取得它的代码后，可以在几秒钟之内编译和运行。

“除了在Pastebin和Pastie网站上发现的这些工具，我们还看到恶意软件利用AutoIt作为一个脚本语言的情况也在剧增，”Wilhoit说。

使用AutoIt开发恶意软件的情况自2008年以来一直稳步增加，杀毒软件厂商BitDefender高级电子邮件分析师Bogdan Botezatu周二表示，AutoIt编写的恶意软件样本数量最近达到高峰，每月超过20000个。

“最开始，AutoIt恶意软件大多数用于广告欺诈或者创建具有自我传播机制的IM蠕虫，”博泰扎图说。“如今，AutoIt恶意软件的范围从勒索软件到远程访问应用程序。”

最近发现一类特别复杂的基于AutoIt的恶意软件，某个版本的DarkComet RAT(远程访问木马程序)，Wilhoit声称，这种恶意软件在受害者的机器上打开一个后门，通过远程命令和控制服务器进行通信，并修改Windows防火墙政策。

过去，DarkComet RAT被用于有针对性的APT攻击，包括叙利亚政府针对该国政治活动家的监视活动。趋势科技发现这个变种有趣的地方，即它由AutoIt写成而且具有非常低的防病毒检出率。

Botezatu指出，使用脚本语言来开发复杂的恶意软件不是一种普遍的做法，因为这些语言需要机器上安装有解释器来执行，否则的话必须生成一个巨大的独立的可执行文件。不过也有例外，他说：“例如火焰，该网络间谍软件使用Lua脚本语言自动执行一些任务，不会被反病毒产品检测出来。”

AutoIt非常直观和易于使用，编译产生的二进制文件能够脱离盒子运行，这已经在现有的Windows版本中得到很好的证明。此外，已经有很多AutoIt恶意代码在活跃在网络上并被重复使用。

“最重要的是，在AutoIt中可以灵活地创建恶意软件，还能轻松地蒙混过关。这意味着单一的恶意软件可以重新制作，通过多重形态来对付检测，以延长它自身的存活周期。”Botezatu说。

随着AutoIt一类脚本语言的普及，越来越多的恶意软件开发者期待转向这些平台，Wilhoit说：“易于使用和学习，以及在流行的托管站点发布代码的优势，使得一大群心怀不轨的人们得到传播他们的工具和恶意软件的机会。”

(责任编辑：)