在安装过程中,该木马软件释放一个叫做"mbcheck.dll"的文件,这个文件实际上就是攻击者用作后门的Havex恶意代码。
"C&C服务器将会指示被感染的计算机下载并执行其他组件",F-Secure称,"我们收集和分析了Havex RAT的88个变种,这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个C&C服务器的调查,这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者"。F-Secure没有指出被影响厂商的名字,但比较针对法国的一个工业机械制造商和两个教育机构和德国的很多公司。
信息搜集
Havex RAT配备了一个新的组件,其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。
OPC是一种通信标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备,以搜集工业控制设备的信息,然后将这些信息反馈到C&C服务器上。除此以外,它也包含从受感染系统收集数据的信息收获工具,比如:
