火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

申博_新闻事件 申博 153次浏览 已收录 0个评论

火绒平安团队发出正告,近日,一批新型宏病毒正经由过程Excel文件流传,该病毒入侵电脑运转后,会悄然接见带有推行计费名的2345网址暗刷流量,并且还会沾染电脑上别的的Excel文件,然后经由过程这些文件流传给别的电脑,被沾染的Excel文件翻开后会涌现“平安正告 宏已被禁用”的提示。

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

剖析显现,该病毒会挪用IE浏览器来接见带有推行计费名的2345导航网址。并且,该病毒非常桀黠,为了提拔本身的隐蔽性,在刷流量前会先检测用户是不是开启IE浏览器历程。若是没有,则主动开启微软官方页面,让用户误把病毒刷流量的历程当做官方页面历程,从而制止被封闭。

火绒工程师提示人人,由于Excel文件是事情、进修中经常使用文件,极易致使该病毒在公司、黉舍等范围内疾速流传,请宽大用户实时做好提防事情。

一、样本剖析

近期,火绒截获到一批宏沾染型样本,该病毒运转后会隐蔽接见带有推行计费名的2345导航网址暗刷流量,并且还会沾染其他Excel事情簿文件。被沾染文档翻开后,都邑涌现如下图所示:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

被沾染文档

被沾染文档中会涌现宏病毒代码,如下图所示:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

病毒宏代码

该病毒为了进步本身隐蔽性,在暗刷流量前还会检测IE浏览器历程是不是存在,若是不存在则会先启动微软office官方页面(https://products.office.com/zh-CN/),经由过程此要领让用户误以为暗刷流量的IE浏览器历程与刚刚被启动的IE浏览器有关。在准备事情完成后,病毒代码会经由过程ActiveX对象挪用IE浏览器接见带有推行计费名的2345导航网址。由于经由过程这类体式格局被宏剧本挪用的其他顺序启动时都是隐蔽的,以是普通用户不会有所发觉。相干代码,如下图所示:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

暗刷流量相干代码

暗刷流量时的历程树,如下图所示:

所见非所得: 浅析同形异义词攻击及案例分析

引言 自从 ICANN 二十多年前在域名(称为国际化域名或简称 IDN)中引入Unicode 以来,一系列全新的安全问题也随之浮出水面,同时还可能使用不同的字母和Unicode 字符注册域名。 在研究基于同形异义词和 IDN的网络钓鱼和其他攻击的可行性时,主要是在 web 应用渗透测试的背景下,我们偶然发现了一些奇怪的案例,它们也影响了移动应用程序。然后我们决定针对移动即时通讯工具展开调查,特别是那些面向安全的,调查这类漏洞的流行程度。 这篇博客文章提供了关于同形异义攻击的简要概述,强调了它的风险,并介绍了针对 Signal,Telegram 和 Tor Browser 的两种实际利用方式。这两种方式可能导致几乎不可能被检测到的完美网络钓鱼场

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

历程树

经由过程窗体掌握东西能够显现IE浏览器窗体,如下图所示:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

暗刷流量的IE浏览器窗体

病毒沾染相干代码实行后,会先在XLSTART目次下建立名为authorization.xls的Excel文档,并将病毒代码前100行插进去到该文档的宏模块中,以后续追加的病毒函数挪用代码,使authorization.xls重要为用来沾染其他Excel文档。authorization.xls被建立后,一切被启动的Excel文档都邑加载实行该宏病毒代码。相干代码,如下图所示:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

在XLSTART目次中开释病毒宏文档

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

在XLSTART目次中被建立的病毒Excel文档

当有其他Excel文档被翻开时,若是以后文档ThisWorkbook宏模块前10行中存在“update”、“boosting”、“person”关键字,则会将ThisWorkbook宏模块中的原始代码删除,删除行数与病毒代码行数雷同。以后,将病毒宏代码前100行插进去到ThisWorkbook宏模块中,再到场相干挪用代码。被追加的挪用代码决议被沾染的Excel重要会开释authorization.xls、暗刷流量。相干代码,如下图所示:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

沾染代码

二、附录

样本hash:

火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利

原文地点: https://www.4hou.com/web/18744.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明火绒平安警报:新型宏病毒经由过程Excel流传 暗刷2345网址站取利
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址