繼印度庫(kù)丹庫(kù)拉姆核電站（Kudankulam）外部網(wǎng)絡(luò)遭惡意軟件感染事件后，近日，網(wǎng)絡(luò)安全公司Cyberbit發(fā)布了針對(duì)該事件的最終分析報(bào)告。

報(bào)告中指出：對(duì)發(fā)電廠攻擊中使用的Dtrack RAT惡意軟件變種的分析發(fā)現(xiàn)，該惡意軟件的變體是經(jīng)過(guò)精心定制的，并且專門(mén)針對(duì)該發(fā)電廠進(jìn)行攻擊。

因?yàn)樗鼘?duì)核電站的內(nèi)部網(wǎng)絡(luò)的憑據(jù)進(jìn)行了硬編碼，惡意軟件刪除程序與該公司以前研究過(guò)的惡意軟件共享技術(shù)：BackSwap(一名銀行木馬)和Ursnif(一名銀行/竊取木馬)類似。

該公司表示：有效檢測(cè)這種類型的高度針對(duì)性的惡意軟件可能會(huì)產(chǎn)生錯(cuò)誤的結(jié)果，這就需要熟練的分析師。這對(duì)于大多數(shù)企業(yè)級(jí)來(lái)說(shuō)是不可接受的解決方案，因此很難檢測(cè)到這些病毒。

對(duì)此，該公司給予了以下建議：

•使用我們提到的哈希(SHA256)并將其列入黑名單。(*注：新的哈希值一直在出現(xiàn)，因?yàn)樗鼈兒苋菀赘摹?

•使用ping -n命令搜索執(zhí)行延遲執(zhí)行的程序。

•搜索來(lái)自單個(gè)主機(jī)的網(wǎng)絡(luò)配置命令的過(guò)度使用，例如“ netstat.exe”，“ net.exe使用”，“ ipconfig.exe”和“ netsh.exe”

•搜索添加通常稱為“ WBService”的新服務(wù)的過(guò)程

•搜索正在對(duì)Microsoft進(jìn)程執(zhí)行代碼注入/代碼挖空的未簽名文件

•查找描述與圖標(biāo)不匹配的文件。例如，描述為“安全銀行啟動(dòng)器”的文件的“ VNC查看器”圖標(biāo)