双枪木马
盗用方正数字签名的双枪木马利用新基础设施传播
匿名用户 2018-12-29 13:58:01 944人浏览

近日,研究人员发现双枪木马更新了其基础设施。双枪木马本身集 Rootkit 和 Bootkit(同时感染 MBR 和 VBR)于一身,还有诸多对抗措施。除此之外,双枪木马恶意活动相关的网络基础设施十分庞杂,感染路径繁琐、传播手段多样,涉及的黑灰产业务种类也五花八门。该病毒的特点有多阶段样本执行,至少 4 个阶段的样本活动才最终下载到双枪木马的恶意驱动文件;利用公共网络服务(比如百度贴吧图片服务器)承载云端配置文件和恶意样本;对抗手段多样,检测运行环境上报云端、对抗杀软难以检测、变形 DES 加密算法对抗分析等等;母体木马文件盗用了 Beijing Founder Apabi Technology Limited(北京方正阿帕比技术有限公司) 的数字签名。

威胁指标(IOC)
匿名用户 2019-01-09 18:32:48 回复
样本怎么不给一个
3417886755 2019-01-03 17:21:26 回复
方正
neooo 2018-12-29 22:35:22 回复
....