Pingback惡意軟件使用IMCP Windows服務進行偷偷摸摸的C2通信

惡意軟件研究人員已經確定了一個針對Windows系統的特殊的新型惡意軟件家族。它使用稱為DLL劫持的流行技巧來欺騙Windows操作系統，使其運行存儲在系統文件夾中的經過惡意修改的DLL。通常，Windows信任這些文件夾中的許多DLL文件，並且它們將由各種Windows組件加載而無需檢查其合法性。當然，這可以通過使用最新的防病毒軟件套件來防止，該套件會在有害文件有機會引起麻煩之前將其終止。

Pingback惡意軟件似乎將自己屏蔽為“ oci.dll”文件，該文件由Microsoft分佈式事務控制服務加載。但是，DLL劫持絕不是一種新穎的技術，它已經被黑客使用了很多年，這在該項目中並不是什麼特別的事情。 Pingback惡意軟件的特殊之處在於，它依賴於Internet控制消息協議（IMCP）與控制服務器進行通信–相同的協議用於ping和tracert等基本Windows命令。

惡意植入程序等待傳入的ICMP數據包，這些數據包用三個特殊數字序列之一標記-一個通知植入程序檢查要執行的命令，另一個通知植入程序接受有效負載。同時，第三個用於將響應返回給控制服務器。 ICMP通信可能會受到網絡流量監視工具的監視，因此Pingback惡意軟件的創建者選擇使用它就不足為奇了。

使用最新的防病毒工具保護的系統可以免受Pingback Malware的攻擊。當然，計算機操作員在瀏覽Web時仍應設法保持安全–避免與未知內容，陰暗的網站，盜版軟件/媒體進行交互，並且當然要始終警惕隨機的電子郵件附件。