《报告参考》
(1)新的Loki变体通过PDF文件传播
https://www.fortinet.com/blog/threat-research/new-l免费云主机域名oki-variant-being-spread-via-pdf-file.html
(2)新的Fareit变种分析
https://www.fortinet.com/blog/threat-research/new-fareit-variant-analysis.html网络C&C特征:/gate.php
外部形态:
病毒第一次释放路径:C:UsersXXAppDataRoaming病毒进程:anydesk.exe
释放病毒名:33CAF5.exe
具有隐藏文件属性
释放的copy目录:
C:UsersxxAppDataRoamingMicrosoftSkype.exe取到的各文件基本信息:注册表键值存有网络信息:
HKEY_LOCAL_MACHINEhttp://bs-shipmanaqement.com/albert/anel/five/fre[.]php通过注册表获取账户密码信息
1 窃密软件
2 通过注册表获取软件安装
3 读取密码文件在内存中搜索用户名密码
4 连接网络发送数据
之前遇到过用户F5设备web界面无法打开问,但由于设备上运行业务很重要,不敢重启,要求在不影响业务的前提系恢复管理界面。为处理方法:1、命令行登陆设备,重启httpd和tomcat进程。# bigstart restart httpdStopping http…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
