E安全7月28日讯 上个月，网络犯罪分子利用Samba 漏洞“永恒之红”（EternalRed）或SambaCry将虚拟货币挖矿软件传送至Linux服务器。安全研究人员发现，这群网络犯罪分子开发了一款针对Windows系统的新后门——“CowelSnail”。

经卡巴斯基实验室产品检测，这款新的恶意软件为Backdoor.Win32.CowerSnail）—— CowerSnail使用的命令与控制（C&C）服务器与SambaCry Linux恶意软件相同：cl.ezreal.space:20480。

CowerSnail使用Qt（跨平台开发框架）编写。安全专家认为，CowerSnail开发人员使用Qt是为了直接转移Unix代码，而非研究如何使用Windows API。另一方面，虽然在平台之间转移代码相对容易，但Qt使生成的文件更大。

CowerSnail是一个不寻常的恶意软件，通过Qt编写。Qt是开发跨操作系统应用程序的编码框架。Qt恶意软件并不新鲜，但像Codewise这类恶意软件却很少见。

卡巴斯基公司的研究人员谢尔盖·尤拉科夫斯基表示，CowerSnail恶意软件仅包含基本功能，目前只能作为后门感染主机。

CowerSnail的主要功能是在被感染主机上执行成批命令。CowerSnail从控制与命令（C&C）服务器接收这些命令。

CowerSnail和SambaCryLinux恶意软件使用的C&C服务器相同：cl.ezreal.space:2048。

尤拉科夫斯基解释称，SambaCry专门针对*nix系统。CowerSnail使用Qt编写，这说明开发人员并不希望探究WinAPI细节，更愿意“照搬”*nix代码。

这名安全专家认为，上述事实，再加上两款软件使用的C&C服务器相同，可以合理推测CowerSnail和SambaCry漏洞利用由同一组织开发。该组织创建了两个独立的木马：各自针对特定平台，并且各具特点，该组织未来可能会开发更多恶意软件。

与SambaCry不同的是，CowerSnail不会默认下载虚拟货币挖矿软件，而是提供标准的后门功能：

1. 接收更新（LocalUpdate）

2. 执行任何命令（BatchCommand）

3. 安装CowerSnail作为一种服务，使用服务控制管理器（Service Control Manager）命令行接口（Install）

4. 将CowerSnail从服务列表卸载（Uninstall）

5. 收集系统信息：

• 时间戳；

• 安装的操作系统类型（例如Windows）；

• 操作系统名称；

• 主机名称；

• 网络接口名称；

• ABI；

• 核心处理器架构；

• 物理内存信息。

尤拉科夫斯基还在CowerSnail C&C服务器流量中发现一些线索，表明开发人员正在研究添加IRC协议支持。恶意软件开发人员通常会在IRC通道中键入命令使用IRC协议控制被感染的主机。基于IRC的C&C服务器通信通常用于僵尸网络，而非后门木马。

SambaCry漏洞（CVE-2017-7494）能被用来将共享库上传至可写共享，并导致服务器加载该共享库，这就允许远程攻击者在目标系统上执行任意代码。

SambaCry漏洞已于5月修复，影响几个厂商的产品，包括路由器和网络附加存储（NAS）设备。事实上，Trend Micro 7月初发现一款恶意软件利用 SambaCry漏洞攻击NAS设备，尤其中小型企业使用的NAS设备。