上个月，网络犯罪分子利用Samba 漏洞“永恒之红”(EternalRed)或SambaCry将虚拟货币挖矿软件传送至Linux服务器。安全研究人员发现，这群网络犯罪分子开发了一款针对Windows系统的新后门——“CowelSnail”。

经卡巴斯基实验室产品检测，这款新的恶意软件为Backdoor.Win32.CowerSnail)—— CowerSnail使用的命令与控制(C&C)服务器与SambaCry Linux恶意软件相同：cl.ezreal.space:20480。

CowerSnail使用Qt(跨平台开发框架)编写。安全专家认为，CowerSnail开发人员使用Qt是为了直接转移Unix代码，而非研究如何使用Windows API。另一方面，虽然在平台之间转移代码相对容易，但Qt使生成的文件更大。

CowerSnail是一个不寻常的恶意软件，通过Qt编写。Qt是开发跨操作系统应用程序的编码框架。Qt恶意软件并不新鲜，但像Codewise这类恶意软件却很少见。

卡巴斯基公司的研究人员谢尔盖·尤拉科夫斯基表示，CowerSnail恶意软件仅包含基本功能，目前只能作为后门感染主机。

CowerSnail的主要功能是在被感染主机上执行成批命令。CowerSnail从控制与命令(C&C)服务器接收这些命令。

CowerSnail和SambaCry Linux恶意软件或同门

CowerSnail和SambaCryLinux恶意软件使用的C&C服务器相同：cl.ezreal.space:2048。

尤拉科夫斯基解释称，SambaCry专门针对*nix系统。CowerSnail使用Qt编写，这说明开发人员并不希望探究WinAPI细节，更愿意“照搬”*nix代码。

这名安全专家认为，上述事实，再加上两款软件使用的C&C服务器相同，可以合理推测CowerSnail和SambaCry漏洞利用由同一组织开发。该组织创建了两个独立的木马：各自针对特定平台，并且各具特点，该组织未来可能会开发更多恶意软件。

CowerSnail具体功能

与SambaCry不同的是，CowerSnail不会默认下载虚拟货币挖矿软件，而是提供标准的后门功能：

接收更新(LocalUpdate)

执行任何命令(BatchCommand)

安装CowerSnail作为一种服务，使用服务控制管理器(Service Control Manager)命令行接口(Install)

将CowerSnail从服务列表卸载(Uninstall)

收集系统信息：

时间戳;

安装的操作系统类型(例如Windows);

操作系统名称;

主机名称;

网络接口名称;

ABI;

核心处理器架构;

物理内存信息。

尤拉科夫斯基还在CowerSnail C&C服务器流量中发现一些线索，表明开发人员正在研究添加IRC协议支持。恶意软件开发人员通常会在IRC通道中键入命令使用IRC协议控制被感染的主机。基于IRC的C&C服务器通信通常用于僵尸网络，而非后门木马。

SambaCry漏洞

SambaCry漏洞(CVE-2017-7494)能被用来将共享库上传至可写共享，并导致服务器加载该共享库，这就允许远程攻击者在目标系统上执行任意代码。

SambaCry漏洞已于5月修复，影响几个厂商的产品，包括路由器和网络附加存储(NAS)设备。事实上，Trend Micro 7月初发现一款恶意软件利用 SambaCry漏洞攻击NAS设备，尤其中小型企业使用的NAS设备。