一款伪装成Windows激活工具的在野恶意软件分析

近期,钻研职员发清楚明了一款经由过程外部收集设备传播的新型打单软件,这一打单软件活动从8月7号开始不停持续到现在,并且不停冒充成Windows激活对象来进行恶意活动。

根据钻研职员的阐发,这款打单软件不仅配备有多种暗藏功能,而且还可以对数据进行加密。当这款打单软件成功运行之后,它会经由过程各类参数来实现其不合的恶意功能。除此之外,这款打单软件还包孕一个暗藏表单(按下F8键可查看),设置设置设备摆设摆设页面可以让用户设置设置设备摆设摆设不合的信息,此中包孕的内容如下:

1.文件的加密密钥;

2.包孕打单信息的文件名;

3.打单信息;

4.用户的小我ID;

5.额外文件的后缀名;

除此之外,它还包孕了一个“扫除路径”,这条路径可以指定必要跳过加密的文件夹,扫除路径供给的选项参数包孕了默认的Windows文件目录以及法度榜样安装目录。

加密密钥的获取地址为“cosonar.mcdir.ru/get.php”,假如收集问题导致无法在线获取加密密钥,它将会应用默认的加密密钥和默认的用户ID来完成文件的加密操作。打单软件在履行加密操作时,应用的是开源代码库CryptoPP和AES加密算法。加密成功之后,它会在所有目标文件的后缀名后面添加一个“[.]keypass”后缀,并要求用户在72小时之内支付300美金才可以解密文件。

后话

打单软件进击是举世用户都必要面临的问题,作为一种有利可图的收集犯罪模式,进击者还会在打单软件中添加蠕虫病毒的感染和传播功能,这样就能够增添打单软件在收集上的传播能力了。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包