特斯拉特工间谍软件：一部改变情报界游戏规则的传奇

扩展阅读

特斯拉特工是一个密码窃取间谍软件，自2014年以来一直存在。攻击者可以使用该恶意软件监视受害者，使他们能够查看在受支持的程序和浏览器中输入的所有内容。

特斯拉病毒在其自己的网站上进行营销和销售，该网站谎称该程序是为个人使用而创建的合法键盘记录器，因此在黑客社区中变得极其流行。不是最后一个，因为它的易用性和技术支持，可以在“官方”网站上获得，攻击者在那里销售这个恶意软件，以及在专用的Discorde服务器上。尽管声称该软件是合法的，但支持人员还是就非法使用该病毒提出了建议。人们认为特斯拉特工间谍软件起源于土耳其。

（执行过程）

间谍软件是使用.NET软件框架创建的。它的目的是窃取个人数据并将其传输回C2服务器。恶意软件可以从浏览器、电子邮件客户端和FTP服务器访问信息。

此外，特斯拉特工恶意软件能够捕捉截图和视频。它还可以记录剪贴板信息和表单值。病毒在agenttesla-do-com上传播，攻击者只需花15美元就能买到。然而，根据所要求的选项，软件包的价格很容易达到70美元左右。

（模拟病毒的生命周期）

独特的是，恶意软件的创建者已经建立了一种围绕该项目的生态系统，提供24/7的客户支持以及预先匹配的购买计划，其中包括为不同预算和目标量身定制的各种选择。该病毒提供了一个专用的构建器，它有一个简单易用的控制面板.它甚至允许一个不懂技术的攻击者将有效负载打包到恶意文档中。更重要的是，2015年后，特斯拉特工的控制面板已经扩大，具有广泛的自动化功能，允许攻击者在设定时间间隔内自动捕捉快照或远程激活受害者个人电脑上的摄像头。

该恶意软件配备了多种持久性机制，以帮助它避免反病毒检测。因此，它可以在系统重新启动后自动恢复操作。它还可以关闭Windows进程以保持隐藏。

扩展阅读

Adwind RAT，有时也称为Unrecm、Sockrat、Frutas、jRat和JSocket，是一种远程访问特洛伊木马程序，名为MAAS(恶意软件即服务)。Adwind可以收集用户和系统数据，控制受感染机器的网络摄像头，捕获屏幕截图，安装和运行其他恶意程序，记录击键，窃取Web浏览器密码等。

Adwind在2012年1月首次被发现，它不能被称为新的恶意软件，但尽管历史悠久，它还是成功地变得非常流行。事实上，2015年，超过1800人在其“官方”网站上购买了Adwind，使该网站成为世界上最受欢迎的恶意软件分发平台之一。需要注意的是，Adwind对包括Windows、macosX、Linux和BSD在内的所有主要操作系统的用户都构成了危险。

与病毒的最新版本相比，原始版本的功能集有些有限。因此，在2012年，Adwinrat可以捕捉屏幕截图，从选定的在线服务中窃取密码，打开特定的网页并截取截图，以及显示弹出消息。

2013年，恶意软件的创建者发布了一个新版本，改名为Adwind。新版本增加了对Android操作系统的支持，并开始在西班牙黑客社区之外获得支持，成为全世界流行的工具。随着恶意软件的普及，作者建立了一个YouTube频道，为其他网络罪犯发布教程。同年，亚太地区记录了首次在有针对性的攻击中使用Adwind恶意软件的案例。2013年11月，该恶意软件被更名为UNRECOM，并出售给UnRecm软件。重新命名的Adwind版本保留了前一次迭代的所有功能。

2014年，Adwind的源代码被泄露并免费在网上获得，成为2014年和2015年期间在攻击中广泛使用破解版本的网络罪犯的一个流行工具，进一步推动了Adwind的总体流行。针对这一漏洞，Adwind特洛伊木马的“官方”版本在2014年10月被大幅升级并重新发布为AlienSpy。这个版本的恶意软件学会了自动检测沙箱，获得了与控制服务器的加密安全通信，并能够检测和禁用抗病毒。

最后，在2015年，恶意软件再次被重新命名，成为JSocket的老鼠。作为一个恶意软件的服务，Adwind老鼠被出售给用户，每月收取固定费用，作为订阅，可以在JSocket.org上购买，直到网站不可用为止。价格取决于用户选择的包。

应该注意的是，Adwind需要潜在受害者的主动操作才能启动执行过程。因此，恶意软件在恶意.jAR文件中传递，在受害者双击附件之前将无法执行自己。

第一个 worm 名为 Morris worm ，由Robert Tappan Morris于1988年11月2日创造。Morris worm通过利用Unix finger、rsh和sendmail命令中的漏洞传播。它没有造成任何损害，只是用来确定互联网的规模。

扩展阅读

Code Red和Code Red II worms 出现在2001年夏天。Both worms 都利用了运行Windows 2000和Windows NT的计算机中发现的操作系统漏洞。该漏洞是一个缓冲区溢出问题，这意味着当运行在这些操作系统上的计算机收到的信息超过其缓冲区所能处理的信息时，它将开始覆盖相邻的内存。2001年夏天，袭击的后果造成了数十亿美元的损失。

eEye 数字安全公司的Marc Maiffret和Ryan Permeh 两位员工在利用 Riley Hassell 发现现有漏洞时，发现了worm virus。为什么会命名为“Code Red”的计算机病毒，是因为他们当时正在饮用“Code Red”红酒。
被“Code Red”攻击的电脑，会显示一个文本字符串“Welcome to worm.com Hack by Chinese！”。它会在内存中运行，同时会清除硬盘中的所有文件。

最初的 Code Red worm 对白宫发起了分布式拒绝服务（DDoS）攻击。这意味着所有被 Code Red  感染的计算机都试图同时联接白宫的网络服务器，使服务器超载。

被Code Red II worm 感染的 Windows 2000 计算机不再服从所有者的操作指令。这是因为 worm 在计算机操作系统中创建了后门，允许远程用户访问和控制计算机，在电脑方面，这是一个系统的折中方案，对电脑所有者来说是个坏消息。病毒的幕后黑手可以从受害者的电脑上获取信息，甚至可以利用被感染的电脑犯罪。这意味着受害者不仅要处理受感染的计算机，而且可能会因为他或她没有犯下的罪行而受到警方的怀疑。2001年7月19日，它感染了近359000名电脑。

虽然 Windows NT 的计算机容易受到 code red worm 的攻击，但病毒对这些计算机的影响并没有那么严重。运行  Windows NT 的Web服务器可能会比正常情况下更频繁地崩溃，但这已经是最糟糕的了，不过与 Windows 2000 用户所经历的痛苦相比，这还不算太糟。

Microsoft 发布了解决 Windows 2000 和 Windows NT 中安全漏洞的修补程序。一旦修补，最初的 worm virus 就不能再感染 Windows 2000 的计算机；然而，修补程序并不能从被感染的计算机上清除 virus 所以受害者必须自己动手。