近日，Canthink网络安全攻防研究所检测到的PowerShell的后门可以窃取信息，并在受感染的机器上执行各种命令。

据悉，这款被称为PRB-Backdoor的恶意软件已通过包含恶意宏（malicious macros）的Word文档进行分发，该文件被命名为“Egyptairplus.doc”，它最初被认为是会传播与MuddyWater针对中东地区活动相关的恶意软件。

在对此项包含恶意宏的文档进行分析后发现了一个名为Worker()的函数，用于调用嵌入在文档中的多个其他函数，以最终运行PowerShell命令。该命令将在文档中查找大量编码的嵌入式数据并对其进行解码，这将导致一个模糊的PowerShell脚本。

Canthink安全研究员指出：“使用Write-Output替代iex并运行此代码将导致第二层PowerShell脚本出现在网志（blog）前面，且它由于使用了字符替换功能而与MuddyWater代码具有相似性。”

用Write-Output替换所有的iex将显示更多可读的代码，其中仍然包含编码的数据块。对此代码进一步分析，发现一个Invoker.ps1脚本，用于解密主要的后门代码。正确格式化后门包含超过2000行代码。由于主要功能被命名为PRB，所以研究人员决定调用恶意软件PRB-Backdoor。

尽管在沙箱中执行样本并未揭示网络通信，但代码确实包含一个变量，该变量似乎指向后门与之通信以检索命令的主域，即outl00k [.] net。Canthink研究员发现用于注册域名的电子邮件地址也用于域名LinLedin [.] net，此外还发现了这两个域名正在解决的IP，但没有发现任何一个的附加信息。

研究人员通过不同浏览器（包括Chrome、Internet Explorer和Firefox等）研究PRB-Backdoor代码时，发现了与C＆C服务器初始通信和注册相关的功能，除了可以从后门窃取密码、将文件写入磁盘、读取文件、自我更新外，还可实现启动shell、记录按键、截屏、获取系统信息等功能。

Canthink研究员也表示，PRB-Backdoor似乎是一个非常有趣的恶意软件，其旨在运行用户设备，并实现收集信息、窃取密码、记录按键和许多其他功能，目前暂时找不到任何公开来源的后门或其代码。