恶意软件伪装成冠状病毒地图
|
据报道,在俄罗斯地下网络论坛讨论了AZORult,很多人发现它是一种从计算机收集敏感数据的工具演变过来的变种。它带有一个变体,能够在受感染的计算机中生成一个隐藏的管理员帐户,以通过远程桌面协议(RDP)启用连接。 样本分析
Alfasi提供了有关研究恶意软件的技术细节,该恶意软件通过嵌入在文件不被发觉,一般它的命名为Corona-virus-Map.com.exe。这是一个小的Win32 EXE文件,有效负载大小仅为3.26 MB左右。 双击文件将打开该病毒地图软件,窗口会显示有关冠状病毒传播的各种信息。这个病毒软件利用是约翰·霍普金斯大学(Johns Hopkins University)的“感染地图”,人家原本是一个合法的在线资源,为的是实时可视化、跟踪报告冠状病毒。
被感染的病毒地图软件显示了不同国家的确诊病例数,右侧是死亡和康复统计数据。窗口似乎是交互式的,带有用于其他各种相关信息的选项卡以及到源的链接。 该恶意软件则是利用了一些打包层,并注入了多子过程技术,这给研究人员检测和分析带来了挑战。此外,它采用了任务计划程序,因此可以继续运行。 感染迹象 执行Corona-virus-Map.com.exe会导致创建Corona-virus-Map.com.exe文件和多个Corona.exe,Bin.exe,Build.exe和Windows.Globalization.Fontgroups的重复项。
令人震惊的是,该恶意软件还会修改区域地图和语言列表下的少数寄存器。与此同时还创建了多个互斥锁。 (编辑:伊春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
