ก่อนหน้านี้นักวิจัยทางด้าน Security พบ malware ที่ชื่อว่า CowelSnail ในระบบปฏิบัติการ Linux โดย CowelSnail จะกระทำการแพร่กระจายผ่านช่องโหว่ SambaCry แต่ล่าสุดพบ CowenlSnail บนระบบปฏิบัติการ Windows ด้วย

CowerSnail นั้นถูกเขียนใน Qt ซึ่งเป็น framework ที่ใช้สำหรับการทำ Applcation ที่สามารถรันข้าม platform ได้ โดย Qt malware นั้นไม่ใช่เรื่องใหม่อะไร แต่เป็น malware ที่หาได้ยากแค่นั้นเอง

จากการให้ข้อมูลของทาง Kaspersky ที่ชื่อว่า Sergey Yunakovsky ตัว CowerSnail ใน Windows นั้นจะมีแค่ฟังก์ชั่นทั่วๆไปเท่านั้น ณ ตอนนี้สิ่งที่มันทำคือการฝัง backdoor และการรัน batch command ใดๆได้เท่านั้น
จากการตรวจสอบจาก C&C Server  (cl.ezreal.space:20480) พบว่าใช้ตัวเดียวกับคนที่เขียน malware ที่ชื่อว่า EternalRed cryptocurrency miner ซึ่งใช้การโจมตีผ่าน SambaCry นั่นเอง
จากการวิเคราะห์ backdoor ตัว backdoor สามารถทำได้ดังนี้
  • Receive update (LocalUpdate)
  • Execute any command (BatchCommand)
  • Install CowerSnail ไปเป็น service, โดยใช้ Service Control Manager command line interface (Install)
  • Uninstall CowerSnail จาก service list (Uninstall)
  • ดึงข้อมูลภายในเครื่อง
    • Timestamp
    • Installed OS type (e.g. Windows)
    • OS name
    • Host name
    • Information about network interfaces
    • ABI
    • Core processor architecture
    • Information about physical memory

ตัวผู้เขียนใช้งาน IRC Protocol ในการควบคุม malware ต่างๆนั่นเอง

Source:: BleepingComputer