一家大型跨国科技公司最近在将其业务扩展到中国时，得到了一个令人讨厌的惊喜。当地一家银行要求该公司安装一款软件，以便支付当地税款，该软件包含一个先进的后门。

 

周四发布的一份报告详细说明了这一警示故事。报告说，沐鸣开户测速这个名为“智能税”的软件包，由总部位于北京的爱思诺公司生产，如宣传的那样有效。在幕后，它还安装了一个单独的程序，秘密地允许其创建者在受感染的计算机上远程执行命令或他们选择的软件。它还通过一个Windows可信证书进行数字签名。

 

发现这一漏洞的安全公司Trustwave的研究人员将这一后门称为“黄金间谍”。通过对一台Windows计算机的系统级特权，它连接到位于宁日达的控制服务器。Trustwave的研究人员说，该域名已知存有该恶意软件的其他变种。这个后门包含了各种先进的功能，旨在深入、隐蔽和持久地访问受感染的计算机。

 

据周四的邮报报道，这些特征包括:

 

GoldenSpy安装了自己的两个相同版本，都作为持久的自动启动服务。如果其中一个停止运行，它将重新生成它的对应对象。此外，沐鸣开户测速它利用了一个exe保护模块，监控删除任何迭代本身。如果删除，它将下载并执行一个新版本。实际上，这三层保护使得从受感染的系统中删除该文件变得极其困难。

 

这款智能税务软件的卸载功能不会卸载GoldenSpy。它让黄金间谍运行作为一个开放的后门进入环境，即使在税收软件被完全删除。

 

GoldenSpy是不会下载和安装，直到一个完整的两个小时后，税务软件安装过程完成。当它最终下载和安装时，它会悄无声息地执行，不通知系统。这种长时间的拖延是非常不寻常的，也是一种躲避受害者注意的方法。

 

金间谍不联系税务软件的网络基础设施(i-xinnuo[.]com)，沐鸣开户测速而是联系宁日达[.]。[com]，一个已知存在其他变种“黄金间谍”恶意软件的域名。在前三次尝试联系它的命令和控制服务器后，它将随机化信标时间。这是一个已知的方法，以避免网络安全技术设计识别信标恶意软件。

 

GoldenSpy使用系统级别特权操作，这使得它非常危险，并且能够在系统上执行任何软件。这包括额外的恶意软件或Windows管理工具来执行侦察、创建新用户、升级特权等。

 

周四的帖子称，Trustwave威胁分析师在另一家公司发现了“类似的活动”，但没有更多的细节。这家安全公司发现，“黄金间谍”的变种可以追溯到2016年底，但最早的迹象是在今年4月，也就是针对这家科技公司的行动开始的时候，这个后门确实被使用了。研究人员仍然不知道威胁的范围、目的或背后的参与者。Trustwave没有透露遇到GoldenSpy的两家公司，以及要求安装智能税的中国当地银行。Aisino公司的代表没有立即回复寻求对这篇文章发表评论的电子邮件。