Pingback恶意软件使用IMCP Windows服务进行偷偷摸摸的C2通信

恶意软件研究人员已经确定了一个针对Windows系统的特殊的新型恶意软件家族。它使用称为DLL劫持的流行技巧来欺骗Windows操作系统，使其运行存储在系统文件夹中的经过恶意修改的DLL。通常，Windows信任这些文件夹中的许多DLL文件，并且它们将由各种Windows组件加载而无需检查其合法性。当然，这可以通过使用最新的防病毒软件套件来防止，该套件会在有害文件有机会引起麻烦之前将其终止。

Pingback恶意软件似乎将自己屏蔽为“ oci.dll”文件，该文件由Microsoft分布式事务控制服务加载。但是，DLL劫持绝不是一种新颖的技术，它已经被黑客使用了很多年，这在该项目中并不是什么特别的事情。 Pingback恶意软件的特殊之处在于，它依赖Internet控制消息协议（IMCP）与控制服务器进行通信–相同的协议用于ping和tracert等基本Windows命令。

恶意植入程序等待传入的ICMP数据包，这些数据包用三个特殊数字序列之一标记-一个通知植入程序检查要执行的命令，而另一个通知植入程序接受有效负载。同时，第三个用于将响应返回给控制服务器。 ICMP通信可能会受到网络流量监视工具的监视，因此Pingback恶意软件的创建者选择使用它就不足为奇了。

使用最新的防病毒工具保护的系统可以免受Pingback Malware的攻击。当然，计算机操作员在浏览Web时仍应设法保持安全–避免与未知内容，阴暗的网站，盗版软件/媒体进行交互，并且当然始终要警惕随机的电子邮件附件。