扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
现在各种“门”事件层出不穷,上周就有爆发了一个“薛璐门”。每次门事件都有机会看到一些有趣的病毒,虽然这次门事件偶也马上得到了一个样本,不是很特别也不是很新鲜,但是,还是留个小小的记录吧。
具有诱惑力的门事件页面,当有人经受不住诱惑想要点击观看时,出现下面的页面,而这个页面会下载一个恶意程序。
1.下载安装以后主要行为
释放并安装BoHu高清影音,同时解压缩相应程序并且释放驱动siglow.sys,通过NDIShook的方式来阻止安全软件的云安全和升级,而且貌似还会安装一个LSP项目来挟持IE。
2.有趣的解压缩和神奇的反云安全
(1)通过uncompress将相应的文件解压缩得到可以运行的可执行程序,作者的这个动作估计是为了免杀。
msfsg.exe uncompress -s s0001.xml -d s.exe
(2)通过md5 -l 给相应程序添加随机的附加数据,以下命令可以给程序添加相应的附加数据,运行后程序大小增加9M以上,病毒作者的目的应该是为了对抗云安全样本上传。
msfsg.exe md5 -s s.exe -d s.exe -l 10000000
(3)释放驱动siglow.sys,通过NDIShook的方式来阻止安全软件的云安全和升级。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。