本文的標(biāo)題是《微軟Word文檔再成攻擊媒介,被用于傳播NanoCore遠(yuǎn)控木馬》來源于:由作者:陳學(xué)良采編而成,主要講述了FortiGuard實(shí)驗(yàn)室于近日發(fā)文稱,他們?cè)谧罱东@了一封惡意的Micros
FortiGuard實(shí)驗(yàn)室于近日發(fā)文稱,他們?cè)谧罱东@了一封惡意的Microsoft Office Word文檔,其中包含可自動(dòng)執(zhí)行的惡意VBA代碼,能夠在受害者的Windows系統(tǒng)上安裝NanoCore遠(yuǎn)控木馬。
惡意Word文檔分析
根據(jù)FortiGuard實(shí)驗(yàn)室的說法,被捕獲的惡意文檔被命名為“eml_-_PO20180921.doc”。在你打開它時(shí),會(huì)在窗口頂部看到一個(gè)**的警告條,旨在誘使你點(diǎn)擊“啟用內(nèi)容(Enable Content)”。一旦點(diǎn)擊,惡意VBA代碼就會(huì)在后臺(tái)執(zhí)行。
FortiGuard實(shí)驗(yàn)室的分析表明,惡意VBA代碼只會(huì)做一件事——首先從網(wǎng)址“hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.EXE”下載一個(gè)EXE文件并將其保存為“%temp% CUVJN.exe”,然后執(zhí)行它。
CUVJN.exe是一個(gè).Net框架程序,它的原始名稱是“icce.exe”,但它不是真正的NanoCore木馬。CUVJN.exe實(shí)際作用是解密數(shù)據(jù),以獲得一個(gè)新的PE文件。解密的PE文件是另一個(gè).Net框架程序,它的原始名稱是“dll.exe”。
dll.exe實(shí)際上是一個(gè)守護(hù)進(jìn)程,它首先會(huì)創(chuàng)建一個(gè)互斥鎖(Mutex),并檢查該進(jìn)程是否已經(jīng)存在,以確保只會(huì)有一個(gè)該進(jìn)程處于運(yùn)行狀態(tài)。然后,它會(huì)通過檢測(cè)“snxhk.dll”模塊是否來判定受害者的系統(tǒng)是否運(yùn)行有Avast殺毒軟件(snxhk.dll是其模塊之一)。如果Avast在運(yùn)行的話,它則會(huì)對(duì)其進(jìn)行卸載。
接下來,它會(huì)執(zhí)行與CUVJN.exe相似的活動(dòng),從資源部分加載一個(gè)gzip壓縮文件。然后,對(duì)其進(jìn)行解壓縮,以獲取一個(gè)PE文件,而這個(gè)PE文件才是真正的NanoCore 遠(yuǎn)控木馬。
NanoCore遠(yuǎn)控木馬分析
NanoCore實(shí)際上是一中在2013年首次被發(fā)現(xiàn)的遠(yuǎn)控木馬,它能夠在受害者的計(jì)算機(jī)上執(zhí)行多種惡意**作,如注冊(cè)表編輯、進(jìn)程控制、權(quán)限提升、文件傳輸、鍵盤記錄、密碼竊取等。
為了展示NanoCore的惡意功能,F(xiàn)ortiGuard實(shí)驗(yàn)室的研究人員進(jìn)行了一項(xiàng)測(cè)試。在測(cè)試中,
研究人員使用Chrome瀏覽器打開了一個(gè)網(wǎng)上銀行網(wǎng)站,并在登錄頁面上輸入了測(cè)試用的帳號(hào)和密碼。測(cè)試結(jié)果證實(shí),由研究人員輸入的所有內(nèi)容全都被NanoCore獲取到,并保存在“Logs”文件夾下的文件中。從這些文件的命名來看,它們?cè)噲D偽裝成Windows更新日志文件。
如何刪除該惡意軟件
FortiGuard實(shí)驗(yàn)室的研究人員表示,NanoCore受害者可以通過以下步驟來手動(dòng)刪除該木馬:
1)從系統(tǒng)注冊(cè)表“HKCUSoftwareMicrosoftWindowsCurrentVersionRun”或“HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”(取決于Windows系統(tǒng)版本)中刪除值“DHCP Manager”并保存該值的數(shù)據(jù)(如“%AppData%[隨機(jī)字符串]DHCP Managerdhcpmgr.exe”)供后續(xù)使用;
2)重新啟動(dòng)Windows系統(tǒng);
3)刪除文件夾“%AppData%MicrosoftWindowsScreenToGif”;
4)刪除在步驟1中保存的文件夾。
本文由 黑客視界 綜合網(wǎng)絡(luò)整理,圖片源自網(wǎng)絡(luò);轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自黑客視界”,并附上鏈接。
控木馬.jpg "微軟Word文檔再成攻擊媒介,被用于傳播NanoCore遠(yuǎn)控木馬(微軟word文檔被鎖定不能編輯怎么辦)插圖10")
本文原作者為陳學(xué)良,轉(zhuǎn)載請(qǐng)注明:出處!如該文有不妥之處,請(qǐng)聯(lián)系站長刪除,謝謝合作~
原創(chuàng)文章,作者:陳學(xué)良,如若轉(zhuǎn)載,請(qǐng)注明出處:http://www.uuuxu.com/20220512316553.html
相關(guān)推薦
-
重裝系統(tǒng)黑鯊(重裝系統(tǒng)黑鯊和大白菜)
前沿拓展: 重裝系統(tǒng)黑鯊 1、首先打開黑鯊裝機(jī)**,選擇我們的U盤啟動(dòng)模塊,左鍵點(diǎn)擊,然后可以看到有三個(gè)模式,我們現(xiàn)在只需要選擇U模式可以了。2、將你要制作的U盤**電腦的U**接…
-
katowice 2014 3dmax
精彩紛呈的katowice2014比賽 Katowice2014是一場(chǎng)備受矚目的電競(jìng)比賽,其中3DMAX戰(zhàn)隊(duì)的表現(xiàn)更是令人驚艷。這支法國戰(zhàn)隊(duì)在比賽中展現(xiàn)出了高超的技藝和無與倫比的團(tuán)…
-
2019年全年日歷,精致排版設(shè)計(jì),word直接打印,日常應(yīng)用不**心(2019年全年日歷表圖片高清)
本文的標(biāo)題是《2019年全年日歷,精致排版設(shè)計(jì),word直接打印,日常應(yīng)用不操心》來源于:由作者:陳浩爾采編而成,主要講述了Hello大家好,我是幫幫。今天跟大家分享5套2019年全年日歷,精致排版設(shè)
-
微信能弄?jiǎng)討B(tài)頭像(微信可以做動(dòng)態(tài)頭像)
前沿拓展: 微信能弄?jiǎng)討B(tài)頭像 微信頭像不可以換動(dòng)態(tài)的,只能換靜態(tài)的,步驟:1.打開并登陸微信;2.進(jìn)入微信主界面點(diǎn)擊“我”,接著點(diǎn)擊頭像;3.進(jìn)入個(gè)人信息界面,再點(diǎn)擊頭像;4.接著…
-
Web版Outlook Mail全新改版體驗(yàn):更快更簡(jiǎn)潔(web版outlook怎么導(dǎo)出郵件)
微軟于兩周前宣布了網(wǎng)頁版Outlook Mail預(yù)覽版,并且
-
用Excel,也能制作出好看的日歷(excel也可以的)
本文的標(biāo)題是《用Excel,也能制作出好看的日歷》來源于:由作者:陳勇鑫采編而成,主要講述了嗨,各位同學(xué)們好呀!我是小E~
小E為同學(xué)們準(zhǔn)備了本文練習(xí)文件,獲取直接在公種號(hào)【秋葉Excel】回復(fù)【日歷 -
qq頭像女生動(dòng)漫霸氣(qq頭像女生動(dòng)漫霸氣高冷范)
前沿拓展: qq頭像女生動(dòng)漫霸氣 不知道你喜歡啥 拓展知識(shí): qq頭像女生動(dòng)漫霸氣
-
姓田的微信頭像(姓田的微信頭像圖片)
前沿拓展: 姓田的微信頭像 微信聊天的時(shí)候,總是發(fā)現(xiàn)有些人的頭像右下角有個(gè)小紅旗,感覺很有意思。那接下來就看一下微信頭像小國旗是怎么弄的。 打開微信小程序 搜索“國旗頭像” 從手機(jī)…
-
2021年3月教師資格證筆試考試真題(2021年3月教師資**時(shí)間)
本文的標(biāo)題是《2021年3月教師資格證筆試考試真題》來源于:由作者:陳昊煒采編而成,主要講述了2021年3月教師資格證筆試考試真題
(考生回憶版)
【中學(xué)】《綜合素質(zhì)》選擇題:
1.素質(zhì)教育注重對(duì)學(xué)生 -
不收費(fèi)的微信好友恢復(fù)軟件(不花錢的微信好友恢復(fù)軟件)
前沿拓展: 不收費(fèi)的微信好友恢復(fù)軟件 從你的描述來看,微信的好友一旦刪除之后是沒辦法使用一鍵恢復(fù)功能的,這個(gè)建議你不要上當(dāng),收費(fèi)的軟件是不可信的,當(dāng)然也沒有免費(fèi)的軟件。 微信作為國…