Qakbot的其他特性
Qakbot两个脱颖而出的广泛隐形功能尤其不同寻常:第一个是Qakbot广泛的实验室回避程序,旨在确保该木马不会在安全公司的研究实验室运行。Qakbot的开发者肯定不是为了使他们的犯罪软件避免被研究人员研究而设计。然而,与那些只检查是否运行在虚拟机上从而确定是否继续自行安装的其他一些木马程序不同的是,Qakbot的作者不厌其烦地设置了七次测试以确保他们的木马不会被安全研究人员进行反向工程并做详细研究。
▲
图1 从僵尸计算机发送给Qakbot C&C 服务器的SI – 系统信息文件
▲
图 2: Seclog -从僵尸计算机发送给Qakbot C&C 服务器的文件
▲
图3 PS - 从僵尸计算机发送给Qakbot C&C 服务器的受保护存储区文件
此外,更不寻常的是,如果Qakbot识别出它正在实验室环境中运行,它就会特意将有关的IP地址报告给木马卸放区:木马将系统的IP地址和bot ID发送给Qakbot的卸放区。这种类型的通知很可能得以执行,将该IP地址列入黑名单,这样木马就不会再试图感染同一个研究实验室。
实验室追踪到的第二个不寻常的隐形功能,就是Qakbot作者为压缩木马所窃凭证而自行开发的独特压缩格式,实验室见证的第一个此类编程壮举,因为大多数银行木马都只是简单地使用流行的压缩格式如ZIP, RAR, 和TARGZ。Qakbot作者专有的压缩格式迫使专业安全研究人员不得不耗费大量的时间和精力编写了一个合适的解压缩程序。
