杀毒软件无法检测最新的Adwind木马

西班牙互联网信息安全公司Heimdal近日检测到一系列带有故意附件的垃圾短信，其中包含各种版本的adwind木马(远程登录木马)。

这起蓄意攻击是在上周引起的，当时海姆达尔安全因素公司的专家和教授觉得攻击者的目标是一家西班牙公司。

在没有充分考虑其初始情况的情况下，所有的垃圾软件都是用英文编写的，所以如果攻击者在实际 *** 作控制面板的某个设置中点击了某个功能键，这类垃圾邮件就有可能传播到其他国家。

显示java文件的附件

海姆达尔表示，所有垃圾邮件都会附带一个名为Doc-[Number].jar的附件，VirusTotal对其进行病毒扫描的结果是不存在故意病原体，但实际上附件中存在Adwind远程 *** 作木马，并且这个木马产品系列已经存在了四年。

Adwind木马最早出现在大家眼前是在2012年1月，当时它的名字叫Frutas。之后历经数次更名，2014年2月更名为Unrecom，2014年10月更名为AlienSpy，最近一次更名是2015年6月的JSocket。但是绝大多数安全系数公司还是叫它Adwind，因为在这个名字下危害很大。

在政府尽力阻止攻击者的 *** 作过程后，于2016年2月公布了一份卡巴斯基报告。报道说，这个恶意软件背后的团伙犯罪将其辅助软件出售给1800名嫌疑人，最终导致超过44.3万名受害者的感受。

攻击者的目标是敏感的金融大数据。

攻击者设计开发这款恶意软件的目的是入侵西班牙公司的电脑。

AD远程木马会在敏感系统中为攻击者打开前门，然后攻击者可以连接机械设备找到更多的敏感信息，然后根据各种方式窃取这类信息。

所有受影响的计算机也将被添加到全局拒绝服务攻击中，这将使其他攻击者能够方便快捷地向受害者推送垃圾邮件或发起DDoS攻击(如果他们想这样做的话)。海姆达尔的杰出团队检测到11C&在最近的攻击中到达；Cweb服务器。

海姆达尔的安德拉·扎哈里亚(AndraZaharia)描述道，“这种在线攻击者似乎将注意力训练变成了更有针对性的攻击，因此他们不需要使用大量的机械设备。这也意味着可以用越来越低的资源和资金配置获得更高的利润。”

“避免大规模的网捕攻击也意味着更不容易被发现。这就要求他们有大量的时间去控制敏感系统，获取大量的数据信息。”

攻击依然活跃，最新版本的Adwind木马已经来了。

扎哈里亚告诉Softpedia，“警报中的所有域仍然活跃，它们都注册了新的升级攻击。这种有意的C&C网站服务器由各种动态DNS网站服务器提供，目前都还在向多方汇报。”

她弥补道，“现在攻击处于关键时期，所以大家建议公司集中资源，积极选择各种安全防范措施。除此之外，别忘了最重要的环节，那就是员工教育。”

她还说，“在这种攻击中发现的Adwind的这个版本信息比之前发现的版本信息略有改进。它具有沙盒游戏逃生和检查各种反调试程序的功能。总的来说，这是最新版，但没有自己的名字。”