卡巴斯基黑客(卡巴斯基黑客网站)

卡巴斯基黑客(卡巴斯基黑客网站)

逆向破解hacker2024-04-03 8:20:22966A+A-

  

  Palo Alto Networks的研究小组已经发现了一个新的木马,它会利用安全软件边荷载DLL,然后将自身安装在电脑上。

  也许安装在你的电脑上的安全软件已经不那么安全了。该研究小组将他们新发现的木马称为Bookworm。

  Palo Alto Networks声称Bookworm与PlugX RAT有一些很明显的联系。

  目前,这个木马被观察到活动于一个高持续性威胁(APT)组,其主要活跃于泰国。

  从前景来看, Bookworm是最新趋势的一个扩展,也就是它会使用模块化的恶意软件。

  模块化的恶意软件就是在恶意软件上配备自行安装的能力,并且由于它是多层运行的,识别它们变得非常困难。

  远程指挥和控制服务器通常被用于确定需要上传什么内容,它通常会根据感染目标设备的概要进行分析。

卡巴斯基黑客(卡巴斯基黑客网站)

  Bookworm木马拥有简单的内部架构:一种XOR算法被用于加密各种恶意的DLL,然后一个自述文件将它们绑在一起。

  

  当一些DLL被写入自解压RAR存档文件后,可执行文件会跟自述文件放在一起.然后这个RAR存档文件会跟应用程序压缩在一起,创建出一个被称为智能安装程序制造者的安装包。

卡巴斯基黑客(卡巴斯基黑客网站)

  这个应用程序会创建一个安装程序,在被黑客发布后会触发一个自解压式硬件,并且卸载受感染的自述文件, DLL以及EXE。

  一旦完成了安装的工作, EXE会自动启动,并从微软恶意软件防护(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或两者中寻找可执行文件。

  在定位时, EXE会边荷载Dll到这些安全产品中, 并将自己伪装成微软应用程序,然后利用这些安全应用的权限来进行安装。

  现在, Bookworm会提取和加载自述文件中的其他模块,它还开始与指挥和控制服务器进行通信,通过受感染的设备将数据发送到服务器。

  但是研究者们没有提到Bookworm加载或下载时的模块类型,因为他们的研究受到了阻碍——这个木马在与C&C服务器通信时使用了四种不同的加密算法。

  这些算法包括RC4、AES、XOR和LZO。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 6条评论
  • 拥嬉墓栀2024-04-03 12:39:59
  • okworm木马拥有简单的内部架构:一种XOR算法被用于加密各种恶意的DLL,然后一个自述文件将它们绑在一起。    当一些DLL被写入自解压RAR存档文件后,可执行文件会跟自述文件放在一起.然后这个RAR存档文件会跟应用程序压缩在一起
  • 末屿七禾2024-04-03 18:34:47
  • 传什么内容,它通常会根据感染目标设备的概要进行分析。  Bookworm木马拥有简单的内部架构:一种XOR算法被用于加密各种恶意的DLL,然后一个自述文件将它们绑
  • 弦久空宴2024-04-03 14:34:06
  • 文件后,可执行文件会跟自述文件放在一起.然后这个RAR存档文件会跟应用程序压缩在一起,创建出一个被称为智能安装程序制造者的安装包。  这个应用程序会创建一个安装程序,在被黑
  • 辞眸蒗幽2024-04-03 18:26:35
  •     Palo Alto Networks的研究小组已经发现了一个新的木马,它会利用安全软件边荷载DLL,然后将自身安装在电脑上。  也许安装在你的电脑上的安全软件已经不那么安全了。该研究小组将他们新发现的木马称为Bookworm。  Pal
  • 馥妴寺瞳2024-04-03 10:43:12
  • 客发布后会触发一个自解压式硬件,并且卸载受感染的自述文件, DLL以及EXE。  一旦完成了安装的工作, EXE会自动启动,并从微软恶意软件防护(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或两者中寻找可执行文件。  在定位时, EXE会

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理