Netscout Arbor公司的安全研究人员最近在地下论坛发现了一款名为“Kardon Loader”的恶意软件正在以50美元的低价被出售,宣传广告声称这只是一个公开测试版本,但其功能足以使得购买者能够构建自己的僵尸网络。

研究人员表示,Kardon Loader从本质上讲是一个恶意软件下载器,于今年4月底开始由一个代号为“Yattaze”的地下论坛用户出售。它不仅允许购买者构建自己的僵尸网络,而且还允许购买者建立自己的运营网络以进一步扩大客户群。

在宣传广告中,Kardon Loader被描述为是由ZeroCool僵尸网络重命名而来的,并且创建者还上传了一段用于展示管理面板功能的YouTube视频。

有意思的是,广告中还附带有一份声明,称不应将此软件用于恶意目的。另外,广告中的评论也表明,这款恶意软件目前并没有被广泛分发。根据测试屏幕截图显示,只有124台设备遭到了感染。

广告声称Kardon Loader提供或即将提供以下功能:

  • Bot功能
  • 下载并执行任务
  • 更新任务
  • 卸载任务
  • 用户模式Rootkit
  • RC4加密(尚未实施)
  • 调试和分析保护
  • TOR支持
  • 域名生成算法(DGA)

不过,Netscout Arbor公司的安全研究人员表示,在他们得到的样本中并没有这么多的功能。所有样本都使用了硬编码的命令和控制(C&C)URL,而不是DGA。在二进制文件中也没有TOR支持或用户模式Rootkit功能。

虽然Kardon Loader目前还处于开发初期阶段——公开测试阶段,但它的确已经实现了一些很实用的能力,比如允许购买者构建自己的僵尸网络并建立自己的运营网络。

总体而言,Kardon Loader仍然应该算是一个兼具多种功能的恶意软件下载器。此类恶意软件通常会被网络犯罪分子用来创建僵尸网络,以分发其他类型的恶意软件,如凭证盗取软件、勒索软件、银行木马等等。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。