来自 网络 2022-05-17 07:10 的文章

海外高防ip_高防运动鞋_超高防御

海外高防ip_高防运动鞋_超高防御

Win32:Suspebhav再次攻击

我很高兴地宣布Win32:Suspebhav-一组高级启发式检测-现在又回到了正轨。它已经处于维护模式很长一段时间了,因为对底层仿真器进行了一些预定的更改。在这些变化之后,自建高防cdn,我真的很好奇真实世界的反馈是什么,这就是我发现的:

等等!有一个指向合法的IncremidMail安装目录的路径。嗯,要么是假阳性,要么这里发生了一些非常奇怪的事情……

当我仔细查看报告中的两个二进制文件时,我发现了许多相似之处。进一步的(动态)测试确认它们属于同一个恶意软件家族。但是怎么可能隐藏在增量邮件二进制文件中呢?是文件感染者吗?事实上是的,以一种有趣的方式。本例中的ImApp.exe二进制文件不是原始文件。它是一个模糊的包装器,防御cc跟ddos攻击,原始二进制文件被封装在程序资源中的某个加密层中(以及恶意负载)。运行二进制文件后,从Google的GeoIP中提取顶级域标识符,如果匹配(.com、.uk、.ca、.au),则注册服务"C:\WINDOWS\system32\htttpapi.dll"。它还通过at命令安排其更新例程。该服务可能携带从受感染计算机发送到攻击者数据采集器的信息,并邀请进一步的感染模块到受感染PC。

顺便说一句:常规增量邮件二进制文件是数字签名的,而这一个不是,这可以帮助用户决定是否信任它。我真的很高兴它不是FP,智能dns防御ddos,而且这两个样本都很容易被Suspebhav检测到(它"隐藏"在小型NSN和恶意软件gen检测后面,因为首先列出的是较少的启发式检测)。如上所述,这两个样本属于同一个家族,但令人惊讶的是,ddos攻击防御概述,它们的VT结果非常不同:

因此,SuspebHav-K(SuspebHav集合中的一个)帮助我将这些样本分组在一起,购买防御ddos,尽管根据VT结果,它们可能看起来完全不同。很好:-)。干得好,贝哈夫。干得好,迈克尔。别忘了感谢罗曼·布雷佐夫斯基,他帮助我进行了二进制分析(你知道,我一直都很忙,所以我真的很感激有机会把分析工作推给其他人:-D)。