发布:2016年6月9日
下载程序和下载程序是各种恶意软件的辅助程序,如木马和rootkit。它们通常被实现为脚本(VB、批处理)或小型应用程序。
它们本身不携带任何恶意活动,只是通过下载/解压和安装核心恶意模块,为攻击打开了通道。为了避免被发现,一个滴管也可能通过下载/解压一些无害的文件在恶意模块周围制造噪音。
通常情况下,他们会在目标实现后自动删除自己。
下载器和丢弃器是从能够下载附加模块的恶意软件文件的想法中出现的(例如,2002年发布的Agobot)。
现代下载程序的一个有趣例子是OnionDuke(发现于2014年),由受感染的Tor节点携带。它是对正版软件的包装。当用户通过受感染的Tor代理下载软件时,OnionDuke将原始文件打包并添加恶意存根。当下载的文件运行时,存根首先下载恶意软件并将其安装到计算机上,然后解包合法文件并删除自己,以便不被注意到。
大多数情况下,用户通过使用一些未经身份验证的在线资源而受到感染。感染通常是以下行为的结果:
它们也可以在没有用户交互的情况下被安装,由各种攻击包携带。
下载程序通常很小,很少有有意义的、唯一的名称。通常从它们所专用的体系结构和平台调用它们。一些例子:
它们可以用来下载不同家族的各种恶意软件。有时,它们是由一些更大的活动(如OnionDuke)分发的。
下载程序通常以非持久形式出现。他们安装恶意模块,并自动删除自己。在这种情况下,一次部署后他们就不再构成威胁。如果由于某种原因它们没有删除自己,可以手动删除它们。
更危险的变种是持续存在的。它们将自己复制到一些随机的、隐藏的文件中,并创建注册表项,以便在系统重启后运行,试图再次下载恶意模块。在这种情况下,要摆脱下载程序,就必须找到并删除创建的密钥和隐藏的文件。
剩下要做的是采取适当步骤,以消除投掷器所携带的真正武器。由于有效载荷可能是不同类型的,因此清洗系统的难度不同。最普遍的方法是使用高质量的自动反恶意软件工具,并运行完整的系统扫描。
成功部署的下载程序会导致系统被核心恶意模块感染。
保持良好的安全习惯,例如小心访问某些网站,不要打开未知的附件,可以将受到恶意下载程序影响的风险降至最低。然而,在某些情况下,这是不够的。即使不进行任何交互,攻击包仍然可以在易受攻击的机器上安装恶意软件。这就是为什么拥有高质量的反恶意软件是很重要的。
选择你的语言
