tft每日頭條

 > 科技

 > 天擎360病毒庫更新

天擎360病毒庫更新

科技 更新时间:2024-11-23 17:09:25

天擎360病毒庫更新(Zepto敲詐者木馬再變種)1

前言

近日,360威脅情報中心捕獲到新一批的zepto敲詐者木馬開始通過郵件附件傳播,與以往有所不同的是,新一波的郵件附件,不再使用之前的js腳本作為最初的下載器,而是改用HTA腳本。一旦中招,用戶電腦上的視頻、圖片、文檔等文件内容會被加密,擴展名被改為.zepto,并修改桌面背景圖片提示要求支付比特币贖金。

天擎360病毒庫更新(Zepto敲詐者木馬再變種)2

經過解密後,可見關鍵代碼。首先腳本會嘗試從列表中所給出的三個URL下載payload文件到本地并執行,隻要其中任意一個被成功運行起來便會跳出循環,不再嘗試後面的下載地址:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)3

而每次循環中,腳本都會首先嘗試下載payload文件,若成功下載會本地,便會解密文件,把文件恢複成可執行的PE文件格式,再通過文件大小和一些特定偏移量标記判斷恢複是否成功:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)4

而payload被下載回來之後,讀取文件的時候本身就會有一次轉換:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)5

而在讀取完文件,并成功轉換為數組後,會正式進行解密:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)6

如此大費周章的獲取到一個真正的可執行程序,最後在調用系統的rundll32進程,帶參數”qwerty”執行該dll木馬程序:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)7

而最終執行的這個dll程序與之前的敲詐者木馬就别無二緻了,都是調用advapi32中提供的加密函數逐文件進行加密,此處不再贅述:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)8

樣本信息

lHTA下載器樣本:

6890ceb469a2c8735c4ef4a60d8bfb7931960d4ecf5d6e09d2547a6f7ff0cc4b

ed39f8d1b158a87adeb91be2c47bacd15593390edb2b96713214071ee44f2c26

0025c118675d62dfabcf26698e78870138b5440ac96ccf8d41b32b4d0536aa55

l Dll敲詐者木馬樣本:

60b2d7d1cf0d543b5287088fa5f1d594181a128024770fc6cd08cb414a4ab07e

l Payload下載地址:

http://sbbsinfotech[.]com/56f2gsu782desf

http://stirlingblack[.]com/56f2gsu782desf

http://hunt-magzine[.]com/56f2gsu782desf

360天擎安全防護

360天擎可以成功攔截:

天擎360病毒庫更新(Zepto敲詐者木馬再變種)9

天擎360病毒庫更新(Zepto敲詐者木馬再變種)10

360天擎近期針對政企客戶推出了“敲詐先賠”計劃,在企業用戶開啟敲詐先賠功能後,如果360天擎仍無法防護,感染了敲詐者病毒,360天擎負責賠付贖金,并幫助用戶恢複數據。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关科技资讯推荐

热门科技资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved