微软发布了一份私人威胁情报报告,通知各机构,一种名为树莓罗宾(Raspberry Robin)的蠕虫正在感染数百个Windows网络。
作为BleepingComputer报告(在新窗口打开)覆盆子知更鸟正在通过被感染者传播USB设备.它要求用户插入USB设备并单击恶意的。lnk文件。在此之后,蠕虫使用Windows命令提示符启动msiexec进程并运行设备上也存在的恶意文件。
然后使用短URL与命令和控制服务器建立连接,如果成功,则下载并安装大量恶意dll。然后使用合法的Windows实用程序odbcconf.exe执行dll,同时蠕虫反复尝试连接Tor网络节点。至少有一些正在使用的命令和控制服务器被认为感染了QNAPNAS设备.
令人担忧的是,不管是谁成功部署了“覆盆子罗宾”,他都还没有利用被感染的Windows网络。由蠕虫引入的恶意软件能够绕过Windows用户帐户控制(UAC),并且已经证明它可以使用操作系统可用的实用程序。因此,虽然目前没有人知道覆盆子罗宾的目标,但它对网络施加的控制意味着新的恶意软件可以非常快速地下载和部署。
微软有充分的理由将覆盆子罗宾标记为高风险活动,目前除了不将可疑的USB设备插入Windows网络之外,似乎没有任何缓解措施。情报分析师红金丝雀提出了一个蠕虫详细报告(在新窗口打开)让我们更深入地了解它是如何工作的。