关于病毒感染的美剧或电影（喜欢看韩剧的朋友们注意啦）

关于病毒感染的美剧或电影（喜欢看韩剧的朋友们注意啦）(1)

如果你喜欢看韩剧并且最近正在追韩剧，那么你一定要注意了！

网络安全公司ESET最近披露了GoBot2病毒的一个新变种，它主要通过伪装成韩国电影和电视节目的Torrent种子文件传播。

一旦你的计算机遭到感染，就将成为僵尸网络的一部分，而攻击者就能对你的计算机进行远程控制。

病毒简介

根据ESET安全专家的说法，此次披露的计算机病毒是基于被公开发布的GoBot2的源代码构建的，最大的修改是攻击者额外增加了一些用于绕过杀毒软件检测的反分析技术。由于此计算机病毒主要在韩国传播，因此ESET的安全专家将其命名为“GoBotKR”。

从ESET的遥测数据来看，GoBotKR自2018年3月以来一直很活跃，受感染最严重的是韩国（约占80%），其次是中国大陆（约占10%）和中国台湾（约占5%）。

感染过程

如上所述，GoBotKR主要通过伪装成韩国电影和电视节目的Torrent种子文件传播，其中就包括了韩国和中国的一些种子网站。

ESET安全专家的分析表明，双击运行这些恶意种子文件通常会导致如下几个类型的文件被下载：

MP4视频文件
PMA压缩文件（由EXE文件直接重命名）
LNK快捷方式文件

直接打开MP4文件，不会导致任何恶意操作，但它们通常被设置为“隐藏”。用户所能看到的，只有伪装成视频文件的恶意LNK文件。

关于病毒感染的美剧或电影（喜欢看韩剧的朋友们注意啦）(2)

值得注意的是，这些恶意LNK文件通常不会显示自己真实的扩展名（如上图所示），这显然是为了增加用户打开它们的可能性。

打开LNK文件，会导致GoBotKR的运行。同时，隐藏的MP4文件也会运行，这就导致用户无法察觉到任何异常。

ESET安全专家表示，攻击者之所以将恶意EXE文件重命名为PMA文件，同样是为了防止引起对用户的怀疑。另外，攻击者还使用了一些游戏作为诱饵，并使用了与这些游戏相关的文件名和扩展名。

具体来讲，攻击者为恶意可执行文件使用了如下文件名：

starcodec.pma
WedCodec.pma
Codec.pma
leak.dll

前三个伪装成电影或电视节目，最后一个则伪装成游戏。其中，“starcodec”似乎是想要伪装成合法的韩国编码/解码工具Starcodec。

恶意功能

如上所述，GoBotKR是基于在2017年3月份被公开发布的GoBot2的源代码构建的，同样采用了GoLang（也称“Go”）语言编写，并且有很多而已功能都与GoBot2相似。

总的来说，GoBotKR在技术上并不是特别复杂，大多数恶意功能都是通过使用GoLang库，以及执行Windows命令（如cmd、ipconfig、netsh、shutdown、start、systeminfo、taskkill、ver、whoami和wmic）和第三方实用程序（如BitTorrent和uTorrent）来实现的。

信息窃取

ESET的安全专家表示，GoBotKR背后的攻击者正在构建一个僵尸网络，然后利用它来执行各类DDoS攻击（如SYN Flood、UDP Flood和Slowloris）。

因此，GoBotKR在执行后会首先收集有关受感染计算机的系统信息，包括网络配置、操作系统版本，以及CPU和GPU版本。尤其值得一提的是，它还会收集已经安装的杀毒软件列表。

这些信息都将被上传到C&C服务器，以帮助攻击者确定在具体的攻击活动中应该使用哪些僵尸主机（受感染的计算机）。

从ESET安全专家捕获到的GoBotKR样本来看，所有的C&C服务器都托管在韩国，并且都是由同一个人注册的。

僵尸网络命令

一旦与C&C服务器建立起了通信，攻击者就可以C&C服务器向受感染计算机发送命令，主要包括：