远控木马Remcos新变种改变传播策略，开始走网络钓鱼电子邮件路线( 二 ) _Remcos

文章插图
图14.AutoIt加载程序检查调试器
主有效载荷Remcos RATRemcos RAT最初被作为一种合法的远程访问工具出售，允许用户远程控制某个系统，后来才遭到了网络犯罪分子的滥用。
Remcos RAT具有多种功能，包括接收并执行命令、按键记录、屏幕截图以及使用麦克风和网络摄像头录制音频和视频等。
Remcos RAT支持的命令也有很多，其中一部分如下图所示：

文章插图
图15.Remcos RAT的命令列表
还有一个命令是值得注意的，那就是“consolecmd”，用于在受感染系统上执行shell命令：

文章插图
图16. Remcos RAT命令示例
趋势科技表示，最新捕获的这个Remcos RAT变种与之前的版本（Backdoor.Win32.Remcosrat.A）有很多相似之处，主要的区别就是使用了AutoIt打包器以及包含了不同的混淆和反调试技术。
安全建议鉴于最新的Remcos RAT变种是通过网络钓鱼电子邮件传播的，因此建议大家平时不要打开未知来源的电子邮件，尤其是那些带有附件的电子邮件。
另外，不明链接也一定不要点击，以免感染恶意软件。再者就是定期更新系统和已安装的软件，以及应用白名单、关闭无用的端口、禁用无用的组件。

【远控木马Remcos新变种改变传播策略，开始走网络钓鱼电子邮件路线】