娱乐吧
首页 > 科技新闻 > 互联网新闻

激活工具带毒感染量近60万 北京等四城市用户不被攻

时间:2018-05-20

真正的压缩数据起始位置为该资源偏移为0x41BB0B(0x41BB0B = 0x41BF0B(传入参数) - 0x400)的位置,压缩数据被逐字节加0x62加密过,解密后可以得到原始7z压缩数据。相关代码,如下图所示:

压缩数据解密代码

将数据解压后我们得到了恶意驱动压缩包(解压后驱动名为jus3310s.sys)和原始的小马激活工具(ActE.exe),如下图所示:

解压后文件

在火绒虚拟行为沙盒中的运行情况,如下图所示:

虚拟行为沙盒运行情况

恶意驱动jus3310s.sys加载后,会注册映像加载回调劫持浏览器启动参数。当映像文件名为浏览器文件名时,恶意驱动会将浏览器启动参数劫持为如下网址。劫持所使用的网址,如下图所示:

劫持网址列表

受影响浏览器列表,如下图所示:

受影响的浏览器列表

恶意驱动首先会对加载映像的文件名进行检测,检查是否为浏览器文件名,之后对其父进程进行检测查看父进程是否为桌面进程(包括系统explorer、360桌面助手和360安全桌面),如果父进程是桌面进程则会对启动参数进行劫持。过滤浏览器进程相关代码,如下图所示:

过滤浏览器进程代码

共6页首页上一页123456下一页尾页
  • 上一篇:微软Hololens入华一周年 以全新视野加速国内数字化转型
  • 下一篇:拼我世界:揭开人才共享时代的大幕