新惡意軟體GhostAdmin出現 專註於數據竊取

安全研究團隊MalwareHunter Team 今天發現了一個新的惡意軟體家族，它可以感染計算機，並允許欺騙者通過IRC通道發送命令控制這些PC。

這一惡意軟體家族被命名為GhostAdmin，是惡意軟體中殭屍網路類別的一部分。 根據當前信息，該惡意軟體已經被分布和廣泛部署在實時攻擊中，並且可能已經針對至少了兩個公司，竊取了數百GB的信息。

Crooks通過IRC命令控制GhostAdmin受害者

MalwareHunterTeam以及其他研究惡意軟體源代碼的研究人員都表示，GhostAdmin似乎是一個重做版本的CrimeScene，這是一個在3 - 4年前活躍的殭屍網路惡意軟體家族。

研究人員在經過分析後發現，GhostAdmin是用C＃編寫的，並且目前已經是2.0版本。它是通過感染計算機來獲得持久的自啟動以及用其命令和控制（C＆C）伺服器（其是IRC信道）建立通信信道來進行工作的。

而GhostAdmin的作者可以訪問這個IRC通道並且發出可以被所有連接的bot（被感染的計算機）所執行的命令。

該惡意軟體可以與受害者的文件系統進行交互、瀏覽到特定的URL、下載和執行新文件、截取屏幕、錄製音頻、啟用遠程桌面連接、過濾數據、刪除日誌文件、與本地資料庫交互、清除瀏覽歷史等。以下圖片提供了可用命令的完整列表：

除此之外，該惡意軟體還擁有從受感染的計算機收集數據並將其靜默發送到遠程伺服器的能力。

GhostAdmin是基於配置文件進行操作，在此文件中存儲的設置中，有FTP和電子郵件憑證。

FTP憑據用於上傳所有被盜信息的伺服器，例如屏幕截圖，錄音，按鍵等。

另一方面，電子郵件憑證還可用於在每次受害者執行其惡意軟體時向GhostAdmin作者發送電子郵件以及錯誤報告。

MalwareHunterTeam還說到，他們所分析的GhostAdmin版本是由使用「Jarad」這一昵稱的用戶編譯的。

像幾乎所有的惡意軟體作者一樣，Jarad也會設法感染他自己的電腦。通過使用在惡意軟體的配置文件中找到的FTP憑據，MalwareHunterTeam在FTP伺服器上找到了GhostAdmin作者桌面的屏幕截圖。

此外，研究人員還發現了相同的伺服器文件，似乎是從其他GhostAdmin受害者那裡竊取的。可能的受害者包括彩票公司和網吧。僅僅是從網吧，騙子們就收集了368GB的數據。

在我寫這篇文章的時候，根據MalwareHunterTeam介紹殭屍網路的IRC頻道只包括大約十個

相比其他殭屍網路惡意軟體家族，如Necurs或Andromeda，動輒有數百萬bot，GhostAdmin目前只是威脅其第一受害者。儘管目前的數字很低，但其作者如果想要像Necurs和Andromeda那樣運行垃圾郵件殭屍網路，毫無疑問GhostAdmin可以增長到那個量級的數字。x不過在目前來看，GhostAdmin及其botmaster似乎專註於數據竊取和泄露。