Fauxpersky：2018 年發布的新惡意軟件

數字化大大提高了我們的生活水平，使事情變得更容易、更快和更可靠。但是，將所有記錄保存在計算機上並通過互聯網進行處理就像硬幣有兩個不同的方面。有無數的好處有一些明顯的缺點，尤其是黑客和他們的工具被稱為惡意軟件。這個大型惡意軟件家族的最新成員是 Fauxpersky。雖然它與著名的俄羅斯反病毒軟件“卡巴斯基”押韻，但這就是他們的路徑分歧的地方。 Fauxpersky 將自己偽裝成卡巴斯基，旨在竊取用戶信息並通過互聯網將其發送給黑客。它通過USB驅動器傳播，感染用戶的計算機，像鍵盤記錄器一樣捕獲所有擊鍵，最後通過谷歌將其發送到攻擊者的郵箱形式。該惡意軟件名稱背後的邏輯很簡單。任何模仿的東西都被稱為 Faux，因此對卡巴斯基的模仿將是 Faux – Kaspersky 或 Fauxpersky。

要了解這個惡意軟件的執行過程，我們先來看看它的各個組成部分：

按鍵記錄器

Google 定義了一種計算機程序，用於記錄計算機用戶的每次擊鍵，尤其是為了以欺詐方式訪問密碼和其他機密信息。然而，在最初設計時，Keylogger 服務於可以監控孩子在線活動的父母以及雇主可以確定員工是否正在執行分配給他們的期望任務的組織。

另請閱讀：-

如何保護自己免受鍵盤記錄器的侵害 鍵盤記錄器是危險的，要保持受到保護，必須始終保持軟件更新，在屏幕鍵盤上使用並遵循所有...

自動熱鍵

AutoHotkey 是一種免費的、開源的Microsoft Windows自定義腳本語言，最初旨在提供簡單的鍵盤快捷鍵或熱鍵、快速的宏創建和軟件自動化，允許大多數計算機技能水平的用戶在任何 Windows 應用程序中自動執行重複性任務。來自維基百科，免費的百科全書。

谷歌表單

Google Forms 是構成 Google 在線辦公應用套件的應用之一。它用於創建調查或問卷，然後將其發送給所需的人群，並將他們的回答記錄在單個電子表格中以進行分析。

卡巴斯基

卡巴斯基是俄羅斯著名的防病毒商標，開發了防病毒、互聯網安全、密碼管理、端點安全和其他網絡安全產品和服務。

在那裡，正如有時所說的那樣“太多的好事會變成一件大壞事”。

Fauxpersky 食譜

Fauxpersky 是使用 AutoHotKey (AHK) 工具開發的，該工具讀取用戶從 Windows 輸入的所有文本並將擊鍵發送到其他應用程序。AHK 鍵盤記錄器使用的方法非常簡單；它通過自我複制技術傳播。一旦在系統上執行，它就會開始將用戶鍵入的所有信息存儲到帶有相應窗口名稱的文本文件中。它在 Kaspersky Internet Security 的掩碼下運行，並通過 Google Forms 將所有從擊鍵記錄的信​​息發送給黑客。數據提取方法並不常見：攻擊者使用 Google 表單從受感染的系統中收集它們，而不會在分析流量的安全解決方案中產生任何疑問，因為與 docs.google.com 的加密連接看起來並不可疑。發送擊鍵列表後，它從硬盤驅動器中刪除以防止檢測。但是，一旦系統被感染，惡意軟件會在計算機重新啟動後再次啟動。它還在“開始”菜單的啟動目錄中為自己創建一個快捷方式。

Fauxpersky：作案手法

初始感染過程尚未確定，但在惡意軟件破壞系統後，它會掃描連接到計算機的所有可移動驅動器並在其中進行自我複制。它會在 %APPDATA% 中創建一個名為“ Kaspersky Internet Security 2017 ”的文件夾，其中包含六個文件，其中四個是可執行文件，與 Windows 系統文件同名：Explorers.exe、Spoolsvc.exe、Svhost.exe 和任務主機.exe。另外兩個文件是一個帶有卡巴斯基反病毒標誌的圖片文件，另一個文件是一個名為“readme.txt”的文本文件。這四個可執行文件執行不同的功能：

• Explorers.exe – 通過文件複製從主機傳播到連接的外部驅動器。
• Spoolsvc.exe – 它會改變系統的註冊表值，從而阻止用戶查看所有隱藏文件和系統文件。
• Svhost.exe-使用 AHK 函數來監視當前活動的窗口並記錄輸入到該窗口中的任何擊鍵。
• Taskhosts.exe – 用於最終數據上傳。

記錄在文本文件中的所有數據將通過谷歌表單發送到攻擊者的郵箱並從系統中刪除。此外，通過Google Forms傳輸的數據已經被加密，這使得Fauxpersky上傳的數據在各種流量監控方案中顯得不可疑。

網絡安全公司“Cyber​​eason”因發現了這種惡意軟件而受到讚譽，雖然它沒有表明有多少計算機被感染，但鑑於 Fauxpersky 的情報是通過共享 USB 驅動器的老式方法傳播的。Google 收到通知後，會立即做出回應，在一小時內從其服務器上刪除該表單。

移動

如果您覺得您的計算機也受到感染，只需訪問“AppData”文件夾並進入“Roaming”文件夾，然後從開始菜單中的啟動目錄中刪除與卡巴斯基安全軟件 2017 相關的文件和目錄本身。還建議修改服務的密碼，以避免未經授權使用帳戶。

即使使用最新的反惡意軟件，金錢也可以買到，認為我們存儲在計算機上的個人信息是安全的也是錯誤的，因為惡意軟件經常由世界各地的社會工程活動家創建。反惡意軟件開發人員可以不斷更新惡意軟件定義，但並非總是 100% 可能檢測到誤入歧途的聰明人創建的異常軟件。防止滲透的最佳方法是僅訪問受信任的網站，並在使用外部驅動器時格外小心。