垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测

外媒近日消息，全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术，其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在，它由全世界数百万台被感染的电脑组成，目前趋势科技观察到其恶意软件已经得到改进，企图能够成功地打败网络安全措施。

Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩，就会显示一个扩展名为 . url 的文件，.url 扩展名文件与 Windows 快捷方式文件相关联，该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后，该脚本会生成了一个名为 QuantLoader 的下载程序（这是一个普通的恶意软件家族）来下载并执行最终的有效负载。

        图 1.先前版本的恶意软件图

图2. 演变的 Necurs 恶意软件图

以前，Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中，是通过远程脚本生成 QUANTLOADER  下载程序 （由趋势科技检测为 TROJ_QUANT） ，然后下载最终的有效负载，这是添加到 Necurs 的 感染链上的另一层。

QUANTLOADER 的使用可能是双重的：

首先，它会在下载最终有效负载之前增加另一个下载阶段，以此来混淆并逃避行为检测。

其次，QUANTLOADER 本质上是持久性的 ， 它会删除自身的副本并创建一个自动运行注册表，以便在启动时执行。

根据趋势科技的说法，为了找到其他有效的方法来欺骗受害者，并且消除针对它的反措施，Necurs 事实上在不断演变，比如说为了使用户更加相信，攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。

注意，除了伪装成文件夹的图标之外，文件名还被制作成典型的文件夹名称，例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。