病毒预报  第八百九十期

国家计算机病毒应急处理中心通过对互联网的监测，发现了一款使用Go语言编写的新型恶意软件“HabitsRAT”。该软件具有Windows和Linux两个版本，可针对Microsoft Exchange服务器和Linux服务器进行攻击，允许攻击者远程控制受感染主机并执行任意代码。 新型恶意软件HabitsRAT具有Windows和Linux两个版本，两个版本之间共享了大多数代码，其余特定代码被放置于指定文件中。该恶意软件的主要攻击过程如下： （1）进行自安装。HabitsRAT运行后会将自身安装至指定文件夹中，Windows版本的安装位置为“%SystemDrive%WindowsDefenderMsMpEng.exe”，Linux版本的安装位置为“$HOME/.config/polkitd/polkitd”，若使用root权限运行则安装于“/root”。 （2）设置持久性。恶意软件完成自安装后会检查是否已设置持久性，若没有则继续完成设置。Linux版本HabitsRAT使用“systemd”单元文件进行设置，并通过执行命令“systemctl status polkitd”检查是否已完成配置。Windows版本HabitsRAT使用计划任务实现持久性设置：首先将计划任务“xml”写入位于“％TEMP％krebsonsecurity.xml”的文件中，然后通过执行shell命令来添加任务。 （3）与命令控制服务器进行通信。HabitsRAT使用Proton Mail提供的开源库生成一对公钥和私钥，并使用公钥对来自服务器的命令进行加密和认证。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心