安全研究人员报告针对特定用户的间谍软件黑暗幽灵 很可能有政府背景

【博闻社】安全研究人员报告了一个针对特定目标的间谍软件。该恶意程序被称为黑暗幽灵，调试信息里发现了一个叫DCM的代号，不知其代表什么，目前尚未搜索到的国外相关研究报告。

研究人员称，木马是通过劫持软件通过HTTP传输的自动更新去悄悄安装到受害者的电脑上，目的是搜集情报。木马作者很可能有政府背景。中国许多软件的自动更新没有使用HTTPS加密而是直接使用HTTP传输，为嗅探网络的攻击者创造了劫持的便利条件。

在劫持了更新程序后，木马会检查电脑是否安装了安全软件，对不同安全软件执行不同的安装方式，以绕过检测和拦截。

其中最有意思的功能是，它能调用安全软件自身的接口将其加入白名单。

安装之后，木马会尝试利用本地提权漏洞获得管理员权限，它的功能包括监控监听大量的聊天软件，收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。

它监控的软件包括Skype、QQ、阿里旺旺、YY语音、MSN、腾讯通（腾讯的企业通讯软件）、RaidCall。当监视到浏览器窗口中含有Gmail字符时，木马会加载相关插件，尝试通过邮件协议IMAP下载Gmail服务器上的所有文件。

当收集到情报之后，木马会将数据封装成固定包头的DNS协议包，发送到www.baidu.com、www.sina.com、www.163.com域名所在服务器的53端口或者8000端口。

也就是说，攻击者要想获取这些数据包，必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。