两个窃密家族动态信息
本文共 895 字,大约阅读时间需要 2 分钟。
《报告参考》
(1)新的Loki变体通过PDF文件传播(2)新的Fareit变种分析Fareit家族
网络C&C特征:/gate.php
loki窃密恶意软件
外部形态:
病毒第一次释放路径:C:\Users\XX\AppData\Roaming 病毒进程:anydesk.exe
释放病毒名:33CAF5.exe
具有隐藏文件属性
释放的copy目录:
C:\Users\xx\AppData\Roaming\Microsoft\Skype.exe取到的各文件基本信息:
Desktop\33CAF5.exe大小: 430080 bytes文件版本:5.06.0006修改时间: 2018年4月25日, 8:45:05MD5: 6C1E5DA8CF6A810F6B0F581FB9808EA7SHA1: 1F32DFD05102052EB632D9809DA42CFDE6C2369BCRC32: 676C4584Desktop\33CAF5\33CAF5.exe大小: 1132544 bytes修改时间: 2018年5月18日, 14:32:51MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DACRC32: 7D518DEEDesktop\anydesk\anydesk.exe大小: 1132544 bytes修改时间: 2018年5月18日, 14:32:51MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DACRC32: 7D518DEE
注册表键值存有网络信息:
HKEY_LOCAL_MACHINE\通过注册表获取账户密码信息
相同点
1 窃密软件
2 通过注册表获取软件安装3 读取密码文件在内存中搜索用户名密码4 连接网络发送数据转载于:https://blog.51cto.com/antivirusjo/2118060
你可能感兴趣的文章
HDU ACM 1050 Moving Tables
查看>>
Django templates加载css/js/image等静态资源
查看>>
Eclipse C + GTK2.0环境构筑
查看>>
caffe solver
查看>>
Rhel6-heartbeat+lvs配置文档
查看>>
[CF340D]Bubble Sort Graph/[JZOJ3485]独立集
查看>>
陶哲轩实分析习题8.5.19
查看>>
$\mathbf{R}^n$中的紧集是闭有界集
查看>>
vue的命令作用
查看>>
Tencent研发工程师笔试知识点
查看>>
Ubuntu安装JDK
查看>>
PIE SDK矢量自定义渲染
查看>>
apache:侧重于http server tomcat:侧重于servlet引擎
查看>>
CentOS6.4上搭建hadoop-2.4.0集群
查看>>
ORACLE分科目统计每科前三名的学生的语句
查看>>
linux查看CPU和内存使用情况
查看>>
第一次冲刺--查看活动详情用户场景分析
查看>>
0317复利计算的回顾与总结
查看>>
函数对象
查看>>
less编译
查看>>