新型Windows远控木马利用损坏头文件逃避检测达数周

异常攻击手法曝光

根据Fortinet最新研究，网络安全专家发现一起利用DOS（磁盘操作系统）和PE（可移植可执行）头文件损坏的恶意软件发动的异常网络攻击。这两种头文件是Windows PE文件的核心组成部分，前者确保可执行文件与MS-DOS向后兼容，后者则包含Windows加载执行程序所需的元数据。

FortiGuard事件响应团队研究员张晓鹏和John Simmons向《黑客新闻》透露："我们在受感染机器上发现了已运行数周的恶意软件，攻击者通过批量脚本和PowerShell在Windows进程中执行该恶意程序。"虽然未能提取恶意样本，但研究人员获取了运行中恶意进程的内存转储和整机内存镜像，目前尚不清楚其传播途径和影响范围。

反分析技术剖析

该恶意软件以dllhost.exe进程运行，是一个64位PE文件，其DOS和PE头文件遭到故意破坏以增加分析难度，阻碍从内存重建有效载荷。Fortinet表示，经过"多次试验、纠错和反复修复"后，最终在模拟受感染环境的受控本地设置中成功解析了转储样本。

多线程C2通信机制

研究显示，该恶意程序执行后会解密内存中存储的命令控制（C2）域名信息，随后与新发现的威胁域名"rushpapers[.]com"建立连接。研究人员指出："主线程启动通信线程后即进入休眠状态，直至通信线程完成执行，所有C2通信均通过TLS协议加密传输。"

完整RAT功能揭秘

深入分析确认这是一款功能完备的远程访问木马（RAT），具备屏幕截图捕获、受感染主机系统服务枚举与操控等能力，甚至可作为服务器等待"客户端"连接。Fortinet强调："其采用多线程套接字架构——每当新客户端（攻击者）连接时，就会创建专属线程处理通信，这种设计既支持并发会话，又能实现复杂交互。"通过这种运作模式，受感染系统实质上被转化为远程控制平台，攻击者可借此实施后续攻击或代受害者执行任意操作。