研究人员发现,一种新的木马在等到受害者单击鼠标左键再执行命令并感染系统,从而逃避检测。这项新的研究是基于之前对利用鼠标操作隐藏自身的恶意软件的分析。FireEye公司研究人员表示,网络罪犯正在进一步深化这种攻击方式,让恶意软件能够更有效地逃避反恶意软件技术的检测。网络罪犯还延长了安全供应商创建检测恶意软件的签名的时间。
FireEye团队对Upclicker木马进行了分析,发现它挂接到一个程序代码,当用户单击鼠标左键时,就会启动这个代码。FireEye研究人员Abhishek Singh和Yasir Khalid在Upclicker恶意软件分析的博客文章中表示,每次单击鼠标左键就会解开恶意代码。研究人员称:“当未点击鼠标左键时,该恶意代码将保持休眠状态,使其免受沙箱的自动分析。”
Upclicker木马在2011年被首次发现,该木马旨在帮助网络罪犯的点击欺诈活动,试图连接到特定网站,篡改特定页面的访问量计数器。每一步骤都深化了感染过程,攻击者向Explorer注入代码并建立恶意通信。研究人员称:“由于在沙箱中,没有鼠标交互,Upclicker的恶意行为在沙箱环境中保持休眠状态。”
在沙箱环境中保持休眠状态是一种攻击技术,使其难以被防病毒软件供应商和其他安全技术检测的检测恶意软件的产品发现并创建签名。研究人员称,他们预计将有更多恶意软件使用这一技术来逃避自动分析。在11月,赛门铁克的研究人员分析了使用鼠标功能逃避检测的远程访问木马。赛门铁克解释说,该技术已经非常普遍。恶意软件和包装程序作者使用各种技术来隐藏恶意文件免受自动威胁分析系统的检测。