专栏名称: 嘶吼专业版
为您带来每日最新最专业的互联网安全专业信息。
今天看啥  ›  专栏  ›  嘶吼专业版

新一波Ursnif银行木马来袭

嘶吼专业版  · 公众号  · 互联网安全  · 2019-02-12 18:10
Ursnif是一个非常活跃的银行木马,也叫做GOZI,事实上是2014年泄露的Gozi-ISFB银行木马的一个副本。在该变种中,Ursnif使用含有VBA宏代码的武器化的office文档,其中宏代码作为释放器和多阶段混淆Powershell脚本来隐藏真实的payload。除此之外,Ursnif还使用隐写术来隐藏恶意代码并尝试绕过AV的检测。该变种使用QueueUserAPC进程注入技术来注入explorer.exe,因为在目标进程中没有创建远程线程。技术分析初始感染向量是一个excel文件,要求用户启用宏执行来合理查看伪造文档的内容,伪造的一般是发票、订单等等。图1. Ursnif宏文档研究人员对宏代码进行分析,发现恶意软件首先用Application.International MS Office特性来检查受害者所在的国家。如果国家代码是Italy (code 39),宏就会使用shell ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照