精品国产精品一区二区夜夜嗨,亚洲图片久久,国产精品青草久久久久福利99

FortiGuard實驗室于近日發文稱，他們在最近捕獲了一封惡意的Microsoft Office Word文檔，其中包含可自動執行的惡意VBA代碼，能夠在受害者的Windows系統上安裝NanoCore遠控木馬。

惡意Word文檔分析

根據FortiGuard實驗室的說法，被捕獲的惡意文檔被命名為“eml_-_PO20180921.doc”。在你打開它時，會在窗口頂部看到一個**的警告條，旨在誘使你點擊“啟用內容（Enable Content）”。一旦點擊，惡意VBA代碼就會在后臺執行。

FortiGuard實驗室的分析表明，惡意VBA代碼只會做一件事——首先從網址“hxxp://www.wwpdubai.com/wp-content/plugins/jav/inv.EXE”下載一個EXE文件并將其保存為“%temp% CUVJN.exe”，然后執行它。

CUVJN.exe是一個.Net框架程序，它的原始名稱是“icce.exe”，但它不是真正的NanoCore木馬。CUVJN.exe實際作用是解密數據，以獲得一個新的PE文件。解密的PE文件是另一個.Net框架程序，它的原始名稱是“dll.exe”。

dll.exe實際上是一個守護進程，它首先會創建一個互斥鎖（Mutex），并檢查該進程是否已經存在，以確保只會有一個該進程處于運行狀態。然后，它會通過檢測“snxhk.dll”模塊是否來判定受害者的系統是否運行有Avast殺毒軟件（snxhk.dll是其模塊之一）。如果Avast在運行的話，它則會對其進行卸載。

接下來，它會執行與CUVJN.exe相似的活動，從資源部分加載一個gzip壓縮文件。然后，對其進行解壓縮，以獲取一個PE文件，而這個PE文件才是真正的NanoCore 遠控木馬。

NanoCore遠控木馬分析

NanoCore實際上是一中在2013年首次被發現的遠控木馬，它能夠在受害者的計算機上執行多種惡意**作，如注冊表編輯、進程控制、權限提升、文件傳輸、鍵盤記錄、密碼竊取等。

為了展示NanoCore的惡意功能，FortiGuard實驗室的研究人員進行了一項測試。在測試中，

研究人員使用Chrome瀏覽器打開了一個網上銀行網站，并在登錄頁面上輸入了測試用的帳號和密碼。測試結果證實，由研究人員輸入的所有內容全都被NanoCore獲取到，并保存在“Logs”文件夾下的文件中。從這些文件的命名來看，它們試圖偽裝成Windows更新日志文件。

如何刪除該惡意軟件

FortiGuard實驗室的研究人員表示，NanoCore受害者可以通過以下步驟來手動刪除該木馬：

1）從系統注冊表“HKCUSoftwareMicrosoftWindowsCurrentVersionRun”或“HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”（取決于Windows系統版本）中刪除值“DHCP Manager”并保存該值的數據（如“%AppData%[隨機字符串]DHCP Managerdhcpmgr.exe”）供后續使用；

2）重新啟動Windows系統；

3）刪除文件夾“%AppData%MicrosoftWindowsScreenToGif”；

4）刪除在步驟1中保存的文件夾。

本文由黑客視界綜合網絡整理，圖片源自網絡；轉載請注明“轉自黑客視界”，并附上鏈接。

本文原作者為陳學良，轉載請注明：出處！如該文有不妥之處，請聯系站長刪除，謝謝合作~