恶意软件的开发者开始使用Go语言

谷歌的Go语言自发布以来用户数量一直上升。但据来自赛门铁克(Symantec)的一份报告显示,这些用户中包含了一些恶意软件的作者。

赛门铁克表示他们最近发现了一种名为Encriyoko的木马程序,这个程序包含了以Go语言为基础的组件,其文件并被命名为GalaxyNxRoot.exe。这个文件是一个基于.NET的释放器(dropper),它伪装成一个Root工具骗取用户运行。一旦被运行,它将释放两个以Go语言写成的文件:PPSAP.exe和adbtool.exe。

PPSAP.exe是一个收集系统信息并且将信息传送至远程站点的木马。而adbtool.exe则下载一个被加密的名为zdx.tgz的文件并且进行解密操作。下载的这个文件是一个DLL,而且会被载入运行。这个DLL将尝试使用Blowfish算法对扩展名为.c .cpp .go .vb .jpg .png .rar .zip和文件名中有doc xls ppt mdb pdf这样的字符串以及扩展名中有 mce dw sh pic这样的字符串的文件进行加密。除非有特定的文件存在,zdx.dll将生成一个随机密钥加密这些内容,这些内容将不可恢复。

Go语言是一个相对年轻的语言,由谷歌在2009年推出,旨在替换传统的系统语言如C,C++或Java。这种动态类型语言的语法强烈基于C并且以支持并发作为内建特性而被人熟知。它可能被恶意软件作者使用。但Go语言至今尚未进入主流,因为恶意软件研究人员不太熟悉它和它的编译器生成的代码。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wyxfgs.html