Microsoft发现并报告了高度危险的sLoad 2.0（Starsloard）恶意软件

• 新发现的恶意软件品种使用高度复杂的方法来感染Windows PC，同时避免被检测到。
• 这种名为sLoad的恶意软件能够与C＆C服务器通信，从受感染的系统收集信息，并下载其他有效负载。
• 微软的Defender ATP研究小组正在调查sLoad，并在新版本发布到网络上时对其进行报告。

上个月，Microsoft发布了有关sLoad的详细报告，通知其他网络安全社区这种恶意软件的危害性。可以预料的是，这一行动迫使sLoad的创建者迅速地开发了恶意软件，从而向我们表明了如今恶意软件如何快速发展并采用新技术。微软最新发布的报告对所有这些进行了解释，详细介绍了sLoad 2.0及其功能。

本质上，sLoad充当更广泛类型的恶意软件的传递系统。更准确地说，除了感染Windows PC之外，它还可以收集有关受感染系统的信息，并将该信息发送回命令与控制（C＆C）服务器。在这种情况下，恶意软件的创建者可以指示sLoad下载并安装第二个恶意软件有效负载-这是作为后台进程进行的，而用户甚至没有意识到正在发生的事情。这样，sLoad可以与不同类型的恶意软件配对，其中最新报告包括Retefe银行木马。

sLoad的有趣之处在于，它依靠Windows BITS（背景智能传输服务）来进行恶意活动。 Windows Update服务主要使用此系统，该服务可以识别您的网络连接使用模式。换句话说，Windows Update可以看到您何时不主动使用网络连接下载Windows更新，而不会中断您的工作流程。当然，Windows的BITS服务也可以由第三方使用。

如Microsoft报告中所述，sLoad自动创建BITS计划的任务，并定期执行。这意味着sLoad与命令和控制服务器对话，然后将数据发送回服务器并下载新文件。有趣的是，原始的sLoad恶意软件也能够拍摄屏幕截图，而第二个版本中没有此功能。

除了使用BITS服务之外，sLoad还高度依赖PowerShell脚本语言。它完全在RAM中运行，而无需在磁盘上存储任何文件。这使得反恶意软件解决方案识别问题非常困难。

图片由Microsoft提供。

sLoad的第二个版本仍使用Windows的BITS服务，并依赖PowerShell。它没有改变其主要目的-但它进行了核心更改，进一步发展了该恶意软件。现在，它在感染过程中使用WSF而不是VB脚本，并且还检查恶意软件分析师是否正在查看该代码。最后，sLoad 2.0附带了一个跟踪感染阶段的系统（该系统可用于将sLoad主机调试或组织为子组）。

可以肯定的是– sLoad 2.0是一种高度复杂的恶意软件品种，具有创造长期影响的潜力。但是，好消息是Microsoft一直在关注这种恶意软件，这使我们希望其他供应商也能很快实现这一知识。