来自 CC防护 2022-06-01 02:50 的文章

防ddos_云盾ddos监控网站_快速接入

防ddos_云盾ddos监控网站_快速接入

微型银行家特洛伊木马通过电子邮件附件传播。

这一次我们将写一篇针对波兰金融机构客户的活动。特洛伊木马通过假装是图片的电子邮件附件传播。电子邮件标题示例如下图所示。

事实上,zip附件中有可执行文件-IMG-0084(JPEG).JPEG.exe,fotka 1.JPEG.exe。有趣的是,二进制文件看起来几乎像是Systernals中的常规WinObj工具,但也有区别:WinObj的原始版本具有有效的数字签名。恶意软件没有任何漏洞。

最显著的区别在于替换原始代码的有效负载。同样,直到到达VA 0x414923,高防cdn哪个好,原始代码被恶意代码替换,如下图所示。

Tiny Banker中有一些修改,包括反调试技巧,但是,使用硬编码密码,防御ddos流量攻击,加密仍然是相同的RC4。

使用带有硬编码密码的RC4算法,棋牌游戏高防cdn,我们能够获得银行家的配置文件。

配置文件为我们提供了波兰目标金融机构的信息。

SHA256C49EEF5967E6A4A76EA1950FD298206371B12CD2E00D478270F44B49BB5F157 FA394A41BB686AF7D71E9983E1C3340FDE70E0D9752D9927DA809B93C920

大多数客户受到以下检测的保护:Win32:Kryptik PMD[Trj]Win32:Kryptik PME[Trj]

通过电子邮件诈骗传播的恶意软件非常常见。恶意软件作者利用Tiny Banker瞄准全球金融机构的多个客户。这一次,ddos防御工具有哪些,他们使用了常规二进制代码,多ip自动ddos防御系统,并用有效负载替换了原始代码。

确认此分析由David Fiser和Jaromir Horejsi合作完成。

关注Facebook、Twitter、YouTube和Google+上的Avast,我们每天向您提供最新的网络安全新闻。