安全研究機(jī)構(gòu)最近曝光了一款可以入侵Windows系統(tǒng)計(jì)算機(jī)的高級尖端的惡意軟件，該款名為“巴巴爾”(Babar)的軟件旨在盜取目標(biāo)的價(jià)值數(shù)據(jù)，包括即時(shí)通訊、軟件電話、瀏覽器和辦公軟件的數(shù)據(jù)。

[[128186]]

通過對其研究分析發(fā)現(xiàn)，該惡意軟件由下載和植入兩部分組成。后者能夠搭載相關(guān)的遠(yuǎn)程處理應(yīng)用程序接口，在不間斷程序運(yùn)行的情況下盜取數(shù)據(jù)。此程序的內(nèi)部代碼名稱為“Babar64”，與今年1月份加拿大通信安全局(CSEC)發(fā)布的一份報(bào)告中，所描述的一個(gè)名為Babar的間諜軟件極為相似。CSEC懷疑其源自法國情報(bào)機(jī)構(gòu)。

下載部分：

DROPPER

MD5 9fff114f15b86896d8d4978c0ad2813d

SHA-1 27a0a98053f3eed82a51cdefbdfec7bb948e1f36

File Size 693.4 KB (710075 bytes)

植入部分：

MD5 4525141d9e6e7b5a7f4e8c3db3f0c24c

SHA-1 efbe18eb8a66e4b6289a5c53f22254f76e3a29bd

File Size 585.4 KB (599438 bytes)

盡管對其來源的懷疑很難從惡意軟件的二進(jìn)制文件中得到證實(shí)，但分析人員還是對“巴巴爾”所采用的復(fù)雜高端技術(shù)所震驚。此外，代碼分析顯示，其與之前出現(xiàn)的邪惡巴尼(Bunny)惡意軟件的代碼筆跡極其相似，因此可以假定兩款軟件為同一作者。

巴巴爾可以通過掛馬網(wǎng)站或惡意郵件附件等途徑感染目標(biāo)機(jī)器，然后通過下載器安裝。植入部分實(shí)際上是一個(gè)C++寫的32位的惡意DLL文件，通過應(yīng)用一個(gè)全局Windows鉤子，可將自身注入正在運(yùn)行的系統(tǒng)進(jìn)程并入侵到應(yīng)用程序中。之后可以記錄鍵盤擊鍵，捕獲屏幕截圖，竊聽軟件電話并監(jiān)視即時(shí)通訊軟件等。巴巴爾是一個(gè)高度成熟的間諜軟件，唯一的目的就是監(jiān)視目標(biāo)用戶的計(jì)算機(jī)活動。

通過下載器部署到用戶機(jī)器上的DLL文件被放進(jìn)應(yīng)用程序的數(shù)據(jù)文件夾，與之一起的還有一個(gè)名為MSI的文件目錄，該文件夾負(fù)責(zé)存儲運(yùn)行時(shí)間數(shù)據(jù)。巴巴爾可以把它的DLL注入到多達(dá)三個(gè)桌面進(jìn)程中進(jìn)行多實(shí)例運(yùn)行。除此之外，它還帶有userland工具包組件，可以應(yīng)用全局Windows鉤子入侵所有桌面進(jìn)程。這樣，巴巴爾就能夠通過Windows迂回技術(shù)安裝應(yīng)用程序接口鉤子，從任意進(jìn)程中盜竊數(shù)據(jù)。

監(jiān)視活動即可通過本地實(shí)例也可通過被入侵的進(jìn)程執(zhí)行，前者主要監(jiān)視窗口名稱或剪貼板數(shù)據(jù)，而全局鉤子則直接從Windows應(yīng)用程序接口調(diào)用竊取信息。

巴巴爾竊取的主要信息列表：

擊鍵記錄
截屏
從電話軟件中捕獲音頻流
盜取剪貼板數(shù)據(jù)
系統(tǒng)和用戶默認(rèn)語言，鍵盤布局
桌面窗口名稱

擊鍵記錄模塊基于Windows RAWINPUT，該惡意軟件建立一個(gè)只接收窗口信息的隱形窗口。通過處理這個(gè)窗口信息的隊(duì)列，過濾出輸入事件并派發(fā)到原始輸入設(shè)備對象中。該對象通過GetRawInputData函數(shù)抓取鍵盤事件。

巴巴爾的進(jìn)程鉤子關(guān)注下列應(yīng)用程序：

互聯(lián)網(wǎng)通信類-iexplore.exe,firefox.exe,opera.exe,chrome.exe,Safari.exe,msnmsgr.exe

文件處理類-exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe.txt

通訊類：skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe

惡意植入模塊能夠盜取來自鍵盤的輸入，被編輯文件的信息，截獲聊天消息，錄制電話軟件通話。這些盜取來的信息在加密后放入磁盤%APPDATA%\MSI目錄里的一個(gè)文件中。

命令控制服務(wù)器

巴巴爾的分析樣本的配置數(shù)據(jù)中，有兩個(gè)硬編碼服務(wù)器地址：

http://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php

http://www.gezelimmi.com/wp-includes/misc/bb/index.php

第一個(gè)地址是一個(gè)旅游網(wǎng)站，由一個(gè)位于法國的阿爾及利亞旅游機(jī)構(gòu)運(yùn)營。第二個(gè)地址是土耳其域名，目前訪問會返回403錯(cuò)誤。兩個(gè)地址均為合法網(wǎng)站，但卻被利用作為巴巴爾的命令控制服務(wù)端。

原文地址：http://www.aqniu.com/tools/6692.html