新闻链接：999K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0l9#2x3e0p5J5i4K6u0W2j5$3!0E0i4K6u0r3P5X3W2^5N6h3&6Q4x3V1k6Z5K9$3c8@1i4K6u0r3x3U0l9I4y4g2)9J5c8U0l9$3x3K6m8Q4x3V1j5J5y4U0t1$3x3g2)9J5k6h3S2@1L8h3H3`.
新闻时间：2015-06-30
新闻正文：

Stegoloader病毒正在使用“图片隐写术”肆虐全球的计算机系统，根据目前掌握的数据，其主要攻击目标是美国医疗保障公司。

隐写术：隐藏于图片中的病毒

几周前，戴尔SecureWorks的安全研究人员发现了一种新病毒，命名为Stegoloader，这款病毒会使用隐写术作为躲避杀软的方法。一旦感染了受害者的计算机，一个加载模块就会从一个正规网站加载含有恶意代码的PNG图片。FreeBuf之前也有过相关报道，点我了解更多。

Stegoloader自2012年开始出现，它被用来攻击不同行业的系统，包括医保、教育和制造业：

“通过观察Stegoloader最近的受害者，我们发现最近3个月大部分被感染的机器来自美国(66.82%)，之后是智利(9.10%)，马来西亚(3.32%)，挪威(2.09%)和法国(1.71%)。”



攻击医保公司

安全研究人员猜测Stegoloader可能被用来攻击医保公司，黑客试图获取医疗记录。与此同时，研究人员发现了几个不同的Stegoloader，恶意软件在几个月里不断革新，但是变体中的例行程序几年了还是没有变。

受害主要是因为从第三方网站下载注册机而感染病毒的，而非钓鱼网站或钓鱼攻击工具包。

一经下载，病毒会伪装成有关Skype或Google Talk的正规文件，下载含有恶意程序的照片文件。

Stegoloader会使用多种规避手段避免被执法部门和安全厂商调查，比如它会检查它不是处在（杀毒软件的）调试环境中。

病毒样本

以下是Stegoloader病毒的一些SHA1校验值：

TROJ_GATAK.SMJV

bce6a9368f7b90caae295f1a3f4d3b55198be2e2
b8db99cf9c646bad027b34a66bb74b8b0bee295a
d5d0a9ecf1601e9e50eef6b2ad25c57b56419cd1
TROJ_GATAK.SMN

2d979739fbf4253c601aed4c92f6872885f73f77
11f25bee63a5493f5364e9578fa8db9ed4c4b9c9

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课