1.Զ?远控源码远程غ???Դ??
2.成熟后门身披商业外衣,对抗杀软实现远控
Զ?后门后门غ???Դ??
火绒安全系统发现了一款新型后门病毒,它通过远程服务器下载恶意文件并执行,程序允许黑客对用户电脑进行屏幕截图和远程控制等操作。制作这款病毒巧妙地运用了VMProtect壳保护、远控源码远程ROP链、后门后门带骨架屏模板源码DLL内存加载、程序“白加黑”技术和多层内存解密等策略,制作以逃避安全软件的远控源码远程检测,隐藏性极强。后门后门火绒的程序安全产品能够拦截这种病毒,但用户应保持病毒库更新以增强防护。制作
攻击者主要利用与常见软件相关的远控源码远程文件名进行传播,火绒实验室已记录了一些伪装文件名。后门后门病毒的程序负次幂计算源码执行流程复杂,涉及UPX和VMP等保护壳的使用,最新版本已去壳,显示出攻击者持续的开发和测试。
病毒通过在栈内存中编写并执行代码,绕过DEP保护,然后加载内存中的DLL。该DLL会检查文件名中的YYCMS魅思源码资源特定数字,根据是否包含这些数字,病毒会执行不同的操作,如下载jpg文件(其中包含shellcode的回连信息)或等待特定文件存在后下载其他恶意文件。
恶意文件分为zd.exe、md.exe和UnityPlayer.dll等部分,每个部分都有各自的功能和加密机制。例如,苹果CMS TV端源码 zd.exe会加载shellcode,而md.exe和UnityPlayer.dll则通过合法程序加载恶意代码。病毒还利用白加黑技术,通过合法程序加载包含恶意代码的DLL。
附录中包含C2(Command and Control)服务器和哈希值等详细信息,用户应密切关注并及时采取防御措施。
成熟后门身披商业外衣,游戏电竞源码搭建对抗杀软实现远控
火绒威胁情报中心近期发现名为“企业智能化服务平台”的网页上存在恶意文件,名为“合同.rar”的下载物实际上是一个易语言编写的成熟后门。此后门能根据C2指令操控受害者机器,同时具备对抗杀软的能力,会上传系统信息并设置开机启动项以持久驻留。火绒安全产品已能有效拦截,用户需及时更新病毒库提升防护。
该后门伪装为“合同.exe”、“supe-告知函.exe”、“电子合同.xls”等商业文件进行传播。其执行流程涉及多阶段操作,首先从“合同.rar”中解压出引导程序“合同.exe”,并检测“tomcat.exe”进程,如果存在则执行对抗策略。接着解密并针对杀软数量进行处理,通过禁用无线网卡和释放对抗驱动文件,最终释放并执行下一阶段的payload。
后门的payload包含一个conf.ini文件,用于存储密文路径,以及一个经内存操作后替换C2 IP的“tomcat.exe”。这个易语言编写的tomcat.exe会使用E_Loader.dll和HP-Socket等库,执行网络连接、信息收集和杀软检测等功能。在安全防护方面,后门会设立WPS.lnk快捷键,只在杀软数量少于等于4时执行,同时还会根据C2服务器的指令进行远程操作,如上传系统信息和执行特定控制命令。