转载地址：http://bobao.360.cn/news/detail/2961.html

NewPosThings恶意软件现在发现了一个新的变种，它使用DNS协议穿透防火墙从而传输数据。

它被命名为VXers，因为使用了DNS协议，对于偷取数据来说它有一定优势。企业网络和互联网不会缺少DNS数据包，因此防火墙一般不会进行阻拦。而且一般认为DNS数据都是良性的，系统管理员也不怎么会关注DNS数据包。

根据Fireeye的报告，在业务环境中，管理员通常会关注监控、限制或阻止HTTP或者FTP流量。DNS一般被忽略，因此开始逐渐有使用DNS进行的黑客行为，例如之前的Prior POS恶意软件公司BernhardPOS和FrameworkPOS。

Multigrain也是NewPosThings的一个变种。它以后端POS进程multi.exe为目标，同时会进行相应环境判断。在感染后，Multigrain会使用精心设计的DNS请求包告诉攻击者已经成功在目标机上进行了安装，之后它会开始抓取目标机上的卡数据(账户号码，有效期，以及卡安全号码)。获得的数据会使用1024位RSA密钥进行加密，之后每隔5分钟会使用DNS将新的数据发送给攻击者。

Fireeye也指出，Multigrai与NewPosThings最大的相似之处在于，它的代码会注入到目标内存中，并且使用DJB2哈希算法确定攻击者指挥和控制的目标机器。