虽然Andromeda僵尸网络(ANDROM恶意软件家族)也会使用msiexec.exe,但使用安装器的方法还是跟LokiBot不一样的,因为Andromeda会将恶意代码注入到msiexec.exe中来下载Payload。除此之外,Andromeda下载并更新了Payload之后,它会立即下载并执行一个PE文件。这种方法需要使用的MSI数据包,而msiexec.exe会将其识别为可安装的数据包,因此它还会使用到Windows Installer。
实际上,恶意软件并不一定要通过MSI数据包来安装自身,跟绝大多数使用msiexec.exe的恶意软件不同,我们所分析的样本并不需要进行代码修改,它使用的就是Windows Installer来安装恶意软件。
因此我们认为,恶意软件之所以会选择使用这种特殊的安装方式,主要是因为恶意软件开发者设计出了新型的安全检测绕过方法。
缓解方案由于这种攻击的开始阶段利用的还是钓鱼邮件,所以广大用户可以通过抵御钓鱼邮件的方式来缓解这种攻击所带来的影响。除此之外,用户在阅读任意邮件时,一定要仔细阅读邮件中文字所使用的措词,如果发现了语法错误或其他问题,就一定要小心了。