廣告程式DealPly會偵測它的變種或下載網站,是否被微軟SmartScreen及McAfee的WebAdvisor等服務列為黑名單,以躲避防毒偵測。(情境示意圖,圖片來源:https://commons.wikimedia.org/wiki/File:Radar_Graphic.svg)

資安業者enSilo上周揭露廣告程式DealPly會蒐集微軟SmartScreen及McAfee的WebAdvisor等服務,來確定用來散布DealPly的網站是否已被列入黑名單,以適時調整感染政策。

DealPly至少在2013年就存在了,感染DealPly的系統會在使用者瀏覽網站時跳出廣告,enSilo說,這類的廣告程式通常無法吸引資安業者的研究興趣,但他們發現DealPly除了具備應有的模組、機器指紋、VM偵測技術與強大的C&C架構之外,還蒐集合法SmartScreen與WebAdvisor服務的資訊,以在必要時變更DealPly的散布政策,儘可能延長每一代DealPly的壽命。

SmartScreen與WebAdvisor皆隸屬於安全服務,可在使用者造訪或下載惡意檔案時跳出警告,因此設有黑名單機制。

DealPly通常是隨著合法的免費程式散布,當使用者安裝該合法程式時,在不經意中也安裝了DealPly,而DealPly除了會跳出廣告之外,還會查詢SmartScreen與WebAdvisor的黑名單,並傳送到由駭客掌控的C&C伺服器。

enSilo猜測,DealPly索取黑名單的用意在於,檢查它的變種或下載網站是否已被列入黑名單,以作為以後散布DealPly的參考,可能是根據相關服務在不同市場的熱門程度,它在某些國家查詢SmartScreen,在某些國家則利用WebAdvisor。

研究人員指出,DealPly的目的是在評估防毒偵測的能力,以在需要時製造新的惡意樣本,以便時時領先安全解決方案,讓自己能夠長存,相信此一手法很快就會被其它惡意程式效法,成為新的趨勢。


Advertisement

更多 iThome相關內容