7月21日消息,据杀毒软件公司赛门铁克称,用于对微软的Office软件实施最新的零日攻击的第二个特洛伊木马程序的主要动机是对企业实施间谍活动。
据eweek.com网站报道,据跟踪这个威胁的赛门铁克称,一个名为“Trojan.Riler.F”的后门程序把自己安装为一个LSP(分层服务提供商),使它能够监视进出被感染的计算机的每一个数据。
LSP是深入连接到Windows网络设备的一种合法的系统驱动程序。 它主要用于系统与其它计算机的联系。但是,病毒作者发现一种方法把恶意的程序当作一个LSP,以便劫持正在传输的敏感的数据。
赛门铁克称,这个特洛伊木马程序还在被感染的计算机上开一个后门并且连接到“soswxyz.8800.org”域名。然后,这个特洛伊木马程序就等待接受远程黑客的指令。
赛门铁克高级工程经理Alfred
Huger说,这个恶意的PowerPoint文件使用一个名为“Trojan.PPDropper.C”的程序感染用户的计算机。这个程序然后在用户计算机中设置两个后门,让这个攻击能够非法访问被感染的计算机。
第一个特洛伊木马程序名为“Backdoor.Bifrose.E”,主要记录敲击键盘的动作,劫持敏感的系统数据,并且把信息传送到在中国的一个远程服务器。
杀毒软件公司F-Secure称,这个Bifrose后门文件是连接到一个在中国的免费托管的网站的,网址是“pukumalon.8800.org”。
赛门铁克的Huger说,这种攻击的高级性质表明这是一种与工业间谍活动有关的有组织的犯罪团伙的行为。他证实说,微软称这个攻击是“非常有限的”。但是,他警告美国的企业不要对此事漠不关心。
微软计划在8月8日为用户发布补丁,修复PowerPoint 2000、PowerPoint 2002和PowerPoint
2003软件中的安全漏洞。
(责任编辑:韩建光) |