新恶意软件GhostAdmin出现，专注于数据窃取

安全研究团队MalwareHunter Team 今天发现了一个新的恶意软件家族，它可以感染计算机，并允许欺骗者通过IRC通道发送命令控制这些PC。

这一恶意软件家族被命名为GhostAdmin，是恶意软件中僵尸网络类别的一部分。 根据当前信息，该恶意软件已经被分布和广泛部署在实时攻击中，并且可能已经针对至少了两个公司，窃取了数百GB的信息。

Crooks通过IRC命令控制GhostAdmin受害者

MalwareHunterTeam以及其他研究恶意软件源代码的研究人员都表示，GhostAdmin似乎是一个重做版本的CrimeScene，这是一个在3 – 4年前活跃的僵尸网络恶意软件家族。

研究人员在经过分析后发现，GhostAdmin是用C＃编写的，并且目前已经是2.0版本。它是通过感染计算机来获得持久的自启动以及用其命令和控制（C＆C）服务器（其是IRC信道）建立通信信道来进行工作的。

而GhostAdmin的作者可以访问这个IRC通道并且发出可以被所有连接的bot（被感染的计算机）所执行的命令。

该恶意软件可以与受害者的文件系统进行交互、浏览到特定的URL、下载和执行新文件、截取屏幕、录制音频、启用远程桌面连接、过滤数据、删除日志文件、与本地数据库交互、清除浏览历史等。以下图片提供了可用命令的完整列表：

除此之外，该恶意软件还拥有从受感染的计算机收集数据并将其静默发送到远程服务器的能力。

GhostAdmin是基于配置文件进行操作，在此文件中存储的设置中，有FTP和电子邮件凭证。

FTP凭据用于上传所有被盗信息的服务器，例如屏幕截图，录音，按键等。

另一方面，电子邮件凭证还可用于在每次受害者执行其恶意软件时向GhostAdmin作者发送电子邮件以及错误报告。

MalwareHunterTeam还说到，他们所分析的GhostAdmin版本是由使用“Jarad”这一昵称的用户编译的。

像几乎所有的恶意软件作者一样，Jarad也会设法感染他自己的电脑。通过使用在恶意软件的配置文件中找到的FTP凭据，MalwareHunterTeam在FTP服务器上找到了GhostAdmin作者桌面的屏幕截图。

此外，研究人员还发现了相同的服务器文件，似乎是从其他GhostAdmin受害者那里窃取的。可能的受害者包括彩票公司和网吧。仅仅是从网吧，骗子们就收集了368GB的数据。从彩票公司那里，GhostAdmin botmaster似乎窃取了一个数据库，其中包含姓名，出生日期，电话号码，电子邮件，地址，雇主信息等内容。 

在我写这篇文章的时候，根据MalwareHunterTeam介绍僵尸网络的IRC频道只包括大约十个bot，受害者人数还比较有限。

相比其他僵尸网络恶意软件家族，如Necurs或Andromeda，动辄有数百万bot，GhostAdmin目前只是威胁其第一受害者。尽管目前的数字很低，但其作者如果想要像Necurs和Andromeda那样运行垃圾邮件僵尸网络，毫无疑问GhostAdmin可以增长到那个量级的数字。x不过在目前来看，GhostAdmin及其botmaster似乎专注于数据窃取和泄露。