在近日发表的深度分析博文中,微软详细地回顾了去年Windows Defender检测和阻止的恶意软件类型,主要被政府用于监控目的。该工具主要被APT间谍组织NEODYMIUM使用,名为FinFisher(也被称之为FinSpy),被微软检测为Wingbird,是通过复杂策略来绕过防病毒软件并避免被安全研究专家捕捉的政府级别监听间谍软件。
微软在博文中解释道:“FinFisher并不惧怕任何安全技巧,无论是垃圾指令,还是多层虚拟机的‘spaghetti code’,又或者是众所周知的和鲜为人知的反调试和防御措施。”
通过对恶意代码进行技术分析,微软表示FinFisher在受感染设备上通过Word文档进行传播。尽管目前没有充足的证据表明谁使用了该恶意工具,不过微软表示Windows 10系统由于内置的安全解决方案能够抵御这种攻击,并且强调在Windows 10 S系统中由于不允许Win32软件运行,因此该系统设备没有存在漏洞。
这款恶意工具的目标就是窃取信息,此外在某些衍生变种中还包含了MBR rootkit,不过目前这个目的并不是很明确。