donot 肚脑虫
【微步在线情报】捕获最新Donot样本,伪装成腾讯应用
微步情报局 2021-01-11 20:16:52 1766人浏览

微步在线今日捕获到最新Donot样本,该应用的包名为com.tencent.mobileqq,伪装成腾讯应用,应用名为SIM Service。

其中 C&C为 transp.link  端口 8090

建立C&C连接通信核心代码已有所变化

图片1.png

将C&C域名写入bew.txt  

图片2.png

将端口写入ppbew.txt

在建立连接时,先读取文件,取出C&C域名和端口,再使用java.net.socket方法建立连接。

图片3.png

域名(1) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 < 1/1 >
Mobile 2021-01-27 20:56:45 回复
微步老哥 能给个样本吗 感谢
微步情报局 2021-02-05 15:44:49 回复
回复@Mobile: https://s.threatbook.cn/report/file/f1772de5062571ab63518595a36daf12203bcbc13f530a10ebc382e89220c840/?sign=history&env=win7_sp1_enx64_office2013
这个