BAE系统警告了QBOT恶意软件的形状转换应变

BAE系统的事件响应团队是警告毒性QBOT恶意软件的应变，这些QBOT恶意软件已经达到全球数千台公共部门计算机。

恶意软件 - 亦称QAKBOT BOTNET-First于2009年出现，并在2010年4月到2010年4月从私人和公共部门计算机上传到其FTP服务器的2GB被盗信息，包括英国NHS网络上的1,100。

恶意软件的修改版本已经重新归备，被认为在全球数千个组织中感染了超过54,000个PC，并将其添加到其受损机器的僵尸网络，其中85％的感染。

根据BAE系统发布的WhitePaper，Palmware是一个带有后门功能的网络感知蠕虫，主要设计为凭证收割机，并使用钻机开发套件交付。

对公共部门组织的QBOT攻击的紧急响应使BAE Systems介绍了更新的恶意软件感染主机，更新本身和隐藏的所有抗病毒和恶意软件防御。

在2016年初对组织的攻击影响，影响了500台计算机并影响了关键系统的运作，BAE Systems的分析师已经发现了许多修改，原始的QBOT恶意软件才能使其更加难以检测和拦截。

这些包括“形状更改”或多态代码，这意味着每次Mallware代码由其命令和控制服务器发出时，它会以额外的内容重新编译，使其看起来像完全不同的软件。

此外，对恶意软件的自动更新每六个小时生成不同，加密版本，超越努力更新客户计算机上的软件，帮助恶意软件传播。

修改后的QBOT还检查其在沙箱中运行的符号 - 用于点击恶意软件的工具到达用户的收件箱 - 并相应地修改其行为，以避免检测。

Sandboxing广泛用作防止恶意电子邮件内容的防御，但修改版本的QBOT显示恶意软件作者现在将击败它。

根据BAE系统的说法，网络罪犯主要使用QBOT恶意软件来定位警察部门，医院和大学等公共组织。

由于检测避免和自动感染的组合，该公司表示存在风险QBOT将继续传播，除非组织采取措施保护自己。

“许多公共部门组织负责经营关键的基础设施和服务，通常在有限的预算上，使其成为攻击的主要目标，”裴系统网络威胁情报负责人阿德里安Nish说。

他说，在公司的事件响应小组调查的情况下，网络罪犯绊倒，因为少量过时的PC导致恶意代码崩溃，而不是感染他们，提醒目标组织对感染。

“这种情况说明组织必须保持警惕，并能够防止不断发展的网络威胁。QBOT在2009年首先来到了光明，但这个新版本配备了先进的工具来逃脱迅速检测和感染，“Nish说。

BAE系统的团队致力于了解恶意软件的命令和控制网络，以解决如何上载偷窃数据。

此外，他们能够确定程序员如何每次改变被盗数据的目的地，这是攻击者可以避免检测和拦截的方式之一。

引入诸如防沙箱，使用Adomain生成算法（DGA）来呼叫家庭并获取控制指令以及更广泛的范围控制命令表明作者正在发展QBOT成为更积极的威胁，增加持久性和多态度白皮书说，在简单的活性防病毒阻挡方面的能力。

QAE Systems分析师表示，QBOT设计有持久性和群众感染。“因为，这样我们预计QBOT将在未来几个月继续成为一种有效的威胁，促进了利用工具包，提供了初步感染，并自动扩散以获得最大的受害者计数，”他们说。