溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
《報告參考》
(1)新的Loki變體通過PDF文件傳播
https://www.fortinet.com/blog/threat-research/new-loki-variant-being-spread-via-pdf-file.html
(2)新的Fareit變種分析
https://www.fortinet.com/blog/threat-research/new-fareit-variant-analysis.html
網絡C&C特征:/gate.php
外部形態:
病毒第一次釋放路徑:C:\Users\XX\AppData\Roaming
病毒進程:anydesk.exe
釋放病毒名:33CAF5.exe
具有隱藏文件屬性
釋放的copy目錄:
C:\Users\xx\AppData\Roaming\Microsoft\Skype.exe
取到的各文件基本信息:
Desktop\33CAF5.exe
大小: 430080 bytes
文件版本:5.06.0006
修改時間: 2018年4月25日, 8:45:05
MD5: 6C1E5DA8CF6A810F6B0F581FB9808EA7
SHA1: 1F32DFD05102052EB632D9809DA42CFDE6C2369B
CRC32: 676C4584
Desktop\33CAF5\33CAF5.exe
大小: 1132544 bytes
修改時間: 2018年5月18日, 14:32:51
MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04
SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DA
CRC32: 7D518DEE
Desktop\anydesk\anydesk.exe
大小: 1132544 bytes
修改時間: 2018年5月18日, 14:32:51
MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04
SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DA
CRC32: 7D518DEE
注冊表鍵值存有網絡信息:
HKEY_LOCAL_MACHINE\http://bs-shipmanaqement.com/albert/anel/five/fre[.]php
通過注冊表獲取賬戶密碼信息
1 竊密軟件
2 通過注冊表獲取軟件安裝
3 讀取密碼文件在內存中搜索用戶名密碼
4 連接網絡發送數據
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
