近幾年P(guān)OS惡意軟件活動頻繁����,本文就2015年發(fā)現(xiàn)的一個新成員LogPOS樣本進行分析���。該惡意軟件的一個重要的特點是其利用了郵件槽����,可以躲避傳統(tǒng)的檢測機制���。
此外����,在該樣本中���,主程序創(chuàng)建了郵件槽���,并作為郵件槽服務(wù)器�����,而注入到各個進程中的代碼則作為客戶端,它們將獲取到的信用卡號碼寫入郵件槽���,然后通過郵件槽直接將數(shù)據(jù)傳輸出去���。
前言
在這之前,已經(jīng)有過一次POS惡意軟件的惡意活動����。
2014年,Jeremy Humble和我發(fā)現(xiàn)了2個未曾曝光過的POS惡意軟件家族�����,接著在2015年我們又發(fā)現(xiàn)了一個POS惡意軟件的新家族�����。這次發(fā)現(xiàn)的惡意軟件我們命名為“LogPOS”����,它跟前段時間發(fā)現(xiàn)的POS惡意軟件有幾個顯著的差異。
在本文接下來的部分中��,我們將對LogPOS進行詳細(xì)分析�,該樣本哈希值為:
af13e7583ed1b27c4ae219e344a37e2b。
好特科普:郵件槽(Mailslots)
Windows系統(tǒng)中提供了幾種進程間通信的方式���,郵件槽(Mailslots)就是其中的一種。
郵件槽提供進程間單向通信能力��,任何進程都能建立郵件槽成為郵件槽服務(wù)器。其它進程���,稱為郵件槽客戶�����,可以通過郵件槽的名字給郵件槽服務(wù)器進程發(fā)送消息。進來的消息一直放在郵件槽中��,直到服務(wù)器進程讀取它為止。一個進程既可以是郵件槽服務(wù)器也可以是郵件槽客戶����,因此可建立多個郵件槽實現(xiàn)進程間的雙向通信。
通過郵件槽可以給本地計算機上的郵件槽�����、其它計算機上的郵件槽或指定網(wǎng)絡(luò)區(qū)域中所有計算機上有同樣名字的郵件槽發(fā)送消息��。廣播通信的消息長度不能超過400字節(jié)�����,非廣播消息的長度則受郵件槽服務(wù)器指定的最大消息長度的限制����。
郵件槽與命名管道相似����,不過它傳輸數(shù)據(jù)是通過不可靠的數(shù)據(jù)報(如TCP/IP協(xié)議中的UDP包)完成的��,一旦網(wǎng)絡(luò)發(fā)生錯誤則無法保證消息正確地接收�。不過郵件槽有簡化的編程接口和給指定網(wǎng)絡(luò)區(qū)域內(nèi)的所有計算機廣播消息的能力�����,所以郵件槽不失為應(yīng)用程序發(fā)送和接收消息的一種好的選擇�����。
小編推薦閱讀
