近幾年POS惡意軟件活動頻繁,本文就2015年發(fā)現的一個新成員LogPOS樣本進行分析���。該惡意軟件的一個重要的特點是其利用了郵件槽�����,可以躲避傳統(tǒng)的檢測機制����。
此外,在該樣本中�����,主程序創(chuàng)建了郵件槽��,并作為郵件槽服務器�����,而注入到各個進程中的代碼則作為客戶端�����,它們將獲取到的信用卡號碼寫入郵件槽�����,然后通過郵件槽直接將數據傳輸出去�����。
前言
在這之前,已經有過一次POS惡意軟件的惡意活動��。
2014年�����,Jeremy Humble和我發(fā)現了2個未曾曝光過的POS惡意軟件家族��,接著在2015年我們又發(fā)現了一個POS惡意軟件的新家族��。這次發(fā)現的惡意軟件我們命名為“LogPOS”�����,它跟前段時間發(fā)現的POS惡意軟件有幾個顯著的差異�。
在本文接下來的部分中�����,我們將對LogPOS進行詳細分析��,該樣本哈希值為:
af13e7583ed1b27c4ae219e344a37e2b���。
好特科普:郵件槽(Mailslots)
Windows系統(tǒng)中提供了幾種進程間通信的方式���,郵件槽(Mailslots)就是其中的一種�。
郵件槽提供進程間單向通信能力�����,任何進程都能建立郵件槽成為郵件槽服務器����。其它進程,稱為郵件槽客戶���,可以通過郵件槽的名字給郵件槽服務器進程發(fā)送消息�。進來的消息一直放在郵件槽中�����,直到服務器進程讀取它為止�。一個進程既可以是郵件槽服務器也可以是郵件槽客戶,因此可建立多個郵件槽實現進程間的雙向通信����。
通過郵件槽可以給本地計算機上的郵件槽、其它計算機上的郵件槽或指定網絡區(qū)域中所有計算機上有同樣名字的郵件槽發(fā)送消息��。廣播通信的消息長度不能超過400字節(jié)����,非廣播消息的長度則受郵件槽服務器指定的最大消息長度的限制。
郵件槽與命名管道相似����,不過它傳輸數據是通過不可靠的數據報(如TCP/IP協(xié)議中的UDP包)完成的,一旦網絡發(fā)生錯誤則無法保證消息正確地接收�。不過郵件槽有簡化的編程接口和給指定網絡區(qū)域內的所有計算機廣播消息的能力�,所以郵件槽不失為應用程序發(fā)送和接收消息的一種好的選擇����。
小編推薦閱讀
