「」远控木马Adwind现身土耳其，至少80家企业被入攻击名单( 二 )

检查JVM的默认语言环境是否设置为土耳其语；
检查计算机的语言是否设置为土耳其语；
检查计算机的国家名是否设置为土耳其语。

然后，恶意软件将连接到checkip.amazonaws.com以收集公共IP ，通过查询ipinfo.io/public_ip/country来检查与IP相关的国家/地区是否为土耳其。
如果有任何一个上述条件不符合，那么恶意软件将不会展示其真实行为。
接下来，有效载荷将通过WMIC.exe搜索杀毒软件，并将结果发送到CnC服务器：
`WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List`
Windows实用程序Attrib.exe将被用于使有效载荷成为隐藏文件。
为了误导受害者启动恶意软件，攻击者还在恶意软件的图标和名称上下了不少功夫。正如你所看到的那样，恶意软件被伪装成卸载程序。

本文插图
图9.面板和图标
尽管双击图标不会启动任何恶意行为，但使用Java程序启动文件，恶意软件就将开始窃取信息。
长久驻留是通过在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”处写入的注册表项实现的，以确保恶意软件能够在受感染计算机重新启动时自行启动。

本文插图
图10.用于实现恶意软件长久驻留的注册表项

本文插图
图11.标准的Adwind v3.0控制面板
标准的Adwind 3.0版本控制面板如上图所示，它为攻击者提供了如下能力：

截屏；
使用摄像头拍照；
使用麦克风录制音频；
窃取文件、缓存的密码和Web数据；
记录按键。
收集VPN证书；
控制Android设备的SMS系统；
在网络中横向移动。

结语
与往常一样，为避免遭受各种恶意软件侵害，我们仍建议你安装至少一款你信得过的杀毒软件，并及时对其进行更新。
【「」远控木马Adwind现身土耳其，至少80家企业被入攻击名单】此外，鉴于大多数恶意软件都是通过垃圾电子邮件传播的，我们也仍建议你不要打开任何未知来源的电子邮件。即使电子邮件来自经常联系的人，我们也建议你在打开附件之前，使用杀毒软件对其进行扫描。