賽門鐵克公司的安全研究專家透露，名為“z3r0”的惡意軟件作者（意大利籍）目前正在向外界出售一款遠程訪問木馬。據悉，該木馬的出售價格僅為58美金（約合人民幣386元）。

按照授權協議收費

賽門鐵克在報告中將該木馬稱作“Backdoor.Remvio”，其最大的特色在于自帶最終用戶許可協議（EULA）。所以從理論上來說，Remvio具備一定免責權，不需要承擔第三方攻擊者使用Remivo進行攻擊的后果。另外按照授權協議的差異，這款惡意軟件的售價最高也可以達到389美元（約合人民幣2591元）——看樣子現在惡意軟件的出售方式已經形成相當完整的體系了，和一般商業軟件一樣。

賽門鐵克解釋稱，Remvio不僅會對所有版本的Windows操作系統產生影響，攻擊者還可以用它對企業用戶或個人用戶進行攻擊。但是安全研究專家還表示，目前仍不清楚這一后門木馬是否已經被用于真實的攻擊場景中了。

攻擊者購買Remvio之后，就可以通過多種渠道來進行傳播了，包括水坑攻擊，垃圾郵件（在郵件中包含指向該木馬的鏈接），或者惡意附件等形式。總的來說，網絡犯罪分子將擁有無限的可能性，因為這款惡意軟件還能夠通過漏洞利用工具包來進行傳播。

功能很豐富

根據賽門鐵克透露的信息，該木馬采用C++進行開發，雖然其大小只有24-70KB，但是卻包含了大量功能。安全研究人員還發現，該木馬的生成器和控制面板的大小約為6.3MB，而這兩個組件的開發采用的是Delphi編程語言。

賽門鐵克談到：

“該木馬的控制面板可以幫助攻擊者執行自動化任務，當目標用戶上線之后，網絡犯罪分子無需親自進行操作，該木馬會自動進行滲透活動。”

“然而更加可怕的是，攻擊者可以將這一惡意軟件作為遠程訪問木馬（RAT）來用。它可以記錄鍵盤的按鍵數據，捕捉屏幕截圖，利用攝像頭錄制視頻，以及通過麥克風來錄音等等。與此同時，該惡意軟件還能夠從目標主機中的應用程序內提取用戶密碼。”

經過安全研究專家的證實，該木馬能夠從當前主流的瀏覽器和即時通訊應用中收集用戶的密碼，例如IE，Chrome，Firefox，Opera，Pidgin，Trillian，Miranda，QQ，Digsby，PaltalkScene等。

不過雖然攻擊者聲稱Remvio能夠從Safari瀏覽器中竊取用戶憑證，但是目前還沒有任何跡象可以表明Remvio的生成器支持Mac OS X操作系統。

除此之外，賽門鐵克的分析人員還發現，在對Remvio進行了完整的自定義設置之后，它可以躲避目前絕大多數安全防護技術的檢測，因為它內置了反分析功能。

默認情況下，該惡意軟件會使用端口2404來進行網絡通信，不過其生成器接口能夠允許木馬的操作者來修改通信端口。研究人員還發現，“pass”是該木馬在加密網絡密碼時所使用的默認密碼，但也可以進行修改。

* 參考來源：threatpost、symantec，Mickeyyyyy編譯，轉載請注明來自FreeBuf黑客與極客（Freebuf.COM）