恶意软件MiniDuke之谜

2013年2月12日，国外著名安全公司FireEye宣布发现一个新的PDF 0DAY，而在近日，卡巴斯基发布报告称，上周发现欧洲一系列政府和私人机构网站遭到攻击，并在网站上嵌入利用该PDF 0DAY的恶意软件，该恶意软件被命名为MiniDuke。

卡巴斯基实验室与CrySyS实验室联合发布了针对该攻击的详细分析，简要过程如下：

攻击者在攻击过程中，使用了非常有效到位的社会工程技术，他们会向目标发送恶意的PDF文件，文件都是经过精心设计，能吸引人眼球的内容。如ASEM与乌克兰的外交政策、加入北约的计划等，如下图：

一旦用户打开了这些PDF文件，就会从网络下载一个只有20K左右大小的木马到计算机上，该木马是用汇编语言编写，并且通讯经过加密处理。

如果目标系统满足攻击者预的需求，如属于政府、私人机构，则在用户不知以在用户不知情的情况下盗取被感染者Twitter账户。如果Twitter无法使用或者账号已经被删除，该恶意软件还可以通过google搜索，然后通过社交网络再次进行传播。如下图：

攻击者还将一个权限较大的后门隐藏在一个GIF文件内，如下图：

当该后门下载到用户机器上，攻击者就可以远程攻击用户机器，如复制文件、删除文件、杀进程等，通过分析发现，后门会连接到巴拿马和土耳其的两台服务器。

目前受影响的用户遍布23个国家，如下：

比利时，巴西，保加利亚，捷克共和国，格鲁吉亚，德国，匈牙利，爱尔兰，以色列，日本，拉脱维亚，黎巴嫩，立陶宛，黑山，葡萄牙，罗马尼亚，俄罗斯联邦，斯洛文尼亚，西班牙，土耳其，乌克兰，英国和美国。