微软发现Windows蠕虫病毒：恶意软件通过可移动USB设备传播

上周末，微软透露，它在多个行业的数百家企业的网络中发现了 Windows 蠕虫病毒。

该蠕虫（Raspberry Robin）是 Red Canary 的网络安全研究人员发现的一种 Windows 蠕虫。 该恶意软件通过可移动 USB 设备传播。

Raspberry Robin 使用 Windows Installer 访问与 QNAP 关联的域并下载恶意 DLL。 该恶意软件使用 TOR 出口节点作为备份 C2 基础设施。

Raspberry Robin 首次被发现于 2021 年 9 月，专家观察到它主要针对技术和制造企业。 初始访问通常是通过受感染的可移动驱动器（通常是 USB 设备）进行。

Raspberry Robin 主要通过受感染的可移动驱动器（USB 设备）引入，通常以快捷方式 .lnk 文件的形式伪装成受感染 USB 设备上的合法文件夹。 受 Raspberry Robin 感染的驱动器连接到系统后不久，UserAssist 注册表项就会更新，并且在解密时会记录引用 .lnk 文件的 ROT13 加密值的执行情况。 在下面的示例中，q:\erpbirel.yax 解密为 d:\recovery.lnk。

该恶意软件使用 cmd.exe 读取并执行受感染外部驱动器上存储的文件。 它利用 msiexec.exe 与用作 C2 的流氓域进行外部网络通信，以下载和安装 DLL 库文件。

然后，msiexec.exe 启动合法的 Windows 实用程序 fodhelper.exe，该实用程序又运行 rundll32.exe 来执行恶意命令。 专家指出，fodhelper.exe启动的进程以提升的管理权限运行，没有用户帐户控制提示。

研究人员表示，该威胁是通过搜索其父进程 fodhelper.exe 来检测的。

微软已确认该蠕虫病毒已在多个客户的网络中发现，其中包括技术和制造公司。 据 BleepingComputer 报道，微软已通过 Microsoft Defender for Endpoint 向客户发送私人威胁情报警报。 微软已将该蠕虫的活动标记为高风险，因为攻击者可以在受害者的网络上下载和部署其他恶意软件，并随时提升其权限。

• 上一篇：《求生之路2》评测：单人求生、单人打怪
• 下一篇：《火山的女儿》——治愈温馨养成向模拟游戏