利用“顺丰速运”下发GuLoader恶意软件的风险分析
360-CERT [360CERT](javascript:void(0)前天
该钓鱼链接指向MediaFire下载GuLoader恶意软件压缩包(链接信息部分隐藏)。
hxxps[:]//www[.]mediafire[.]com/file/ifu***empc/SF342012300120.7z/file
一旦用户下载该恶意软件压缩包,并且无意执行恶意程序,整个恶意流程被立即激活。
加载DLL以及获取即将调用的函数地址(例如:ZwQueryVirtualMemory)
例如查找字符串“vmtoolsdControlWndClass”
枚举顶层串口句柄,当句柄值小于0x0C时结束进程。
修改DbgUiRemoteBreakin函数字节码。
调用CreateFile函数,以GENERIC_READ(对应数值:0x80000000)方式打开指定路径(C:ProgramDataqemu-gaqga.state)文件,检测QEMU环境。
调用ZwGetContextThread函数获取进程上下文并比较DR寄存器的值判断是否处于调试环境。
然后以挂起的方式开启傀儡进程。
恢复执行傀儡进程后,重新执行前文的所有检测,然后进行联 操作,下载RAT载荷解密执行。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!