SecureWorks研究员认为“这里”蠕虫病毒可能是由一个叫做Tariq伊本Ziyad圣战组织。
电子邮件蠕虫坠毁升级系统可能与网络圣战组织Tariq伊本Ziyad根据安全厂商SecureWorks。
“这里”蠕虫象野火般迅速传播通过计算机网络,降低电子邮件服务器,据报道扰乱大型美国组织包括迪斯尼、宝洁公司、富国银行(Wells Fargo), NASA(国家航空和宇宙航行局)。这是被称为“这里”,因为这是有时候消息的标题用于传播恶意软件。
蠕虫病毒的代码是相同的一个上个月早些时候发布的恶意软件蠕虫,两指一个利比亚黑客使用的名字伊拉克抵抗,他一直试图组建一个黑客组织称为旅Tariq伊本Ziyad SecureWorks主任乔·斯图尔特说恶意软件研究。
“这个人参与这种病毒,或者有人想让它看起来像这群人的参与这种病毒,”斯图尔特说。“有很多指向集团。”
Tariq伊本Ziyad的目标是“渗透美国机构属于美国陆军,“伊拉克抵抗说,根据他的谷歌翻译后宣布。
伊拉克抵抗没有回应记者的置评的电子邮件发送到他的雅虎地址。
目前尚不清楚为什么虫没有广泛传播的第一个版本上个月——安全厂商赛门铁克评为“低”的风险,但斯图尔特说,背后的人最初可能遭遇更多的受害者。“这里”可能还包括新的组件,使它更有效地传播。
8月的蠕虫使用电子邮件地址Iraq_resistance@yahoo.com和伊拉克抵抗的话出现在二进制代码的最新版本的软件。另外,后门组件使用的蠕虫——这可能是创作者远程登录到受感染的系统——试图连接到一台计算机使用Tariq伊本Ziyad名字。蠕虫的其他组件——一个密码窃取和电子邮件发送软件——阿拉伯语说程序员写的,另一条线索,伊拉克抵抗可能是背后的蠕虫。
安全研究人员最初认为蠕虫比复制本身,更严重一些微软Outlook-based网络。但进一步的研究表明,除了密码窃取和后门组件,“这里”也使用复杂的技术来逃避杀毒软件检测,并包括一个PsExec工具,允许它复制到其他电脑通过网络,网络管理员应该发生在登录到被感染电脑。
总的来说,蠕虫不被认为是危险的。在很大程度上这是因为它依赖于服务器,现在离线,安装恶意代码,打开后门访问。
”这是一种模式,”斯图尔特说。蠕虫的传播通过u盘或通过PsExec工具,但它不再通过电子邮件传播,他说。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com