6月12日訊 據安全公司 G Data 近期一份報告稱，最近發現的遠程訪問木馬 SocketPlayer 正在使用一個專門的程序庫 socket.io，操作者可以此與被感染的設備進行交互，而不需要“信標” 消息。

常規銀行木馬只單向通信

SocketPlayer 后門與大多數使用典型單向通信系統的銀行木馬、后門及鍵盤記錄程序不同，它通過使用 socket.io 庫，可在應用程序之間實現實時的雙向通信，根據這個特性，惡意軟件處理程序不再需要等待被感染的設備啟動通信，攻擊者可以自行聯系被感染的計算機。

據稱，后門 SocketPlayer 一旦在被入侵的機器上安裝成功，便能接收操作者的命令并執行各種操作，如嗅探驅動器、屏幕截圖、抓取和運行代碼等。研究人員還發現，SocketPlayer 還能夠選擇性采用其他功能，例如，作為鍵盤記錄器，盡管在后門中沒有實際的鍵盤記錄功能。目前看似還沒有過具體使用情況。

SocketPlayer感染路徑

后門 SocketPlayer 的感染路徑始于 downloader 的沙盒系統檢測，如果通過檢測，downloader 會下載一個可執行文件并進行解密，然后使用 Invoke 方法在內存中運行該解密程序。

被調用的程序會為宿主創建一個套接字連接（宿主為http://93.104.208.17:5156/socket.io），同時還要創建一個可實現持久化的注冊表鍵。接下來檢查是否存在 Process Handler/ folder，如果沒有，就需要創建一個。之后，還需創建一個值為“Handler”的自動啟動鍵。

此外，SocketPlayer 還會下載另一個可下載 SocketPlayer 的可執行文件，解密并在內存中運行。

兩個變種

G Data 的安全研究員在研究過程中發現了 SocketPlayer 后門的兩個變種：

第一個變種是一個大約100kb的文件，用以充當可從網站上執行任意代碼的 downloader；

第二個變種則具備更復雜的功能，包括檢測和規避沙箱機制。

據 G Data 的技術報告稱，SocketPlayer 的第一個變種的第一個樣本已于3月28日首次提交給 VirusTotal（免費的可疑文件分析服務網站），并在3月31日提交了該變種的第二個樣本。此外，SocketPlayer 的第二個變種也存在兩個版本。

安全研究人員注意到，SocketPlayer 的兩個變種之間經歷了一系列的變化，包括：

命令和控制（C&C）端口

文件位置

初始流程所發送的信息

在服務器中新添加了命令

在惡意軟件中新添加功能

upldex 的存儲位置等

惡意軟件通過某印度網站分發

報告顯示，已知的惡意軟件樣本通過一個印度網站進行分發，但尚不清楚后門如何傳播。但無論該網站是用于感染目的還是只是用于鏡像，顯然該惡意軟件在很長一段時間內都未被注意到。