恶意软件玩“潜伏” 利用Windows WMI入侵

WMI让使用者可进入及取得相关操作系统的信息。对特别是在企业环境中的管理员们来说相当有帮助，因其管理在系统中所发现的，使用任何一种程序代码语言与网络联结的应用程序。它可被视为是一个包含了系统所安装操作系统及使用者信息的数据库。

WMI是一项核心的Windows管理技术，WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。

从WMI本来的功能看，它是为了让计算机的管理更容易，同时方便管理员远程操作系统而产生的，那么它又怎么会为入侵者提供方便呢？

由于WMI储存大量的数据，网络犯罪份子认定其为恶意创作的最佳目标。举例来说，他们会在服务中置入特别的pragma以感染系统来进行恶意的命令如：

·置入只能被该特定服务接触的敏感数据

·提高恶意使用者的系统特权，暗中监视及探测受感染的系统，和其它连结在相同网络上的其它系统

·将恶意程序嵌入目标服务中

在这个特定的攻击中，WMI程序TROJ_WMIGHOST.A和DLL恶意软件BKDR_HTTBOT.EA一并被置入系统中。恶意程序展开两个因特网浏览器窗口。第一个窗口让BKDR_HTTBOT.E利用ActiveX内容来执行；第二个窗口让后门将Office档案程序（如Word、PowerPoint或Excel）张贴到远程网站，并从一个GhostIP处执行其它恶意程序。这些后门路径皆会让使用者陷入丢失相关数据的风险。

不过这并不是WMI第一次被以恶意的目的滥用。在"Kiwicon 2008"，有位安全顾问介绍了"The Moth"，一款利用服务来布署具备进行以下程序的恶意程序代码的概念验证型（proof-of-concept，简称POC）Trojan木马：

·在主机系统或可移动式装置中，产生及执行其它可能带恶意的档案程序

·藏匿恶意程序代码

·在被发现及移除后，重新启动已存在的rootkit

好消息是，使用者无需担心成为此攻击的受害者，目前网上已经有相关清除工具，一些防病毒软件的最新版本也能有效防护、清除此类威胁。