自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

惡意程序偽裝成Windows“另存為”對話框騙用戶

作者:佚名
安全
當(dāng)前一些通過附加及捆綁在其它應(yīng)用的惡意軟件,為了成功的安裝到用戶系統(tǒng)上,開始使用一種較為狡猾的方式來試圖欺騙用戶。

當(dāng)前一些通過附加及捆綁在其它應(yīng)用的惡意軟件,為了成功的安裝到用戶系統(tǒng)上,開始使用一種較為狡猾的方式來試圖欺騙用戶。

惡意程序偽裝成Windows“另存為”對話框騙用戶

惡意軟件分析師 Dr.Web 在本月檢測到,惡意軟件 Ticno(Trojan.Ticno.1537),這種木馬擁有非常強大的 防檢測 的特點。

Ticno 并不像那些常規(guī)的惡意軟件下載程序一樣,盲目的去監(jiān)聽指令,并將 payload 安裝到受感染系統(tǒng) 。它具有掃描潛在主機系統(tǒng)的功能,并以此來確定受感染的計算機,到底是一個真實的 PC ,還是一個供安全研究人員用來掃描和分析惡意軟件的虛擬機 。

根據(jù) Dr.Web 的研究分析發(fā)現(xiàn),Ticno 會掃描以下這些進程:

  • irise.exe
  • IrisSvc.exe
  • wireshark.exe
  • ZxSniffer.exe
  • Regshot.exe
  • ollydbg.exe
  • PEBrowseDbg.exe
  • Syser.exe
  • VBoxService.exe
  • VBoxTray.exe
  • SandboxieRpcSs.exe
  • SandboxieDcomLaunch.exe
  • windbg.exe
  • ollydbg.exe
  • vmtools.exe

此外,它還會對以下列舉的這些計算機注冊表項進行掃描:

  • HKCU\Software\CommView
  • HKLM\SYSTEM\CurrentControlSet\Services\IRIS5
  • HKCU\Software\eEye Digital Security
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
  • hklm\SOFTWARE\ZxSniffer
  • HKCU\Software\Win Sniffer
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\APIS32
  • HKCU\Software\Syser Soft
  • hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
  • HKLM\SYSTEM\CurrentControlSet\Services\VBoxGuest
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
  • HKCU\Software\Classes\Folder\shell\sandbox
  • HKCU\Software\Classes\*\shell\sandbox

如果這些檢查中超過三個以上成功匹配,Ticno 就會停止掃描動作,并會啟動一個 Windows Explorer 進程來作為誘餌 。

但是,如果這些檢查都沒問題的話,Ticno 就會向系統(tǒng)用戶彈出一個“另存為”的對話框,要求用戶將名為 1.zip 的文件保存到計算機上 。

惡意程序偽裝成Windows“另存為”對話框騙用戶
Ticno 提示用戶,將文件保存到磁盤 [來源:Dr.Web]

在這里有經(jīng)驗的用戶可能就會察覺到,這種無來源的未知安裝程序,可能會給自己的計算機帶來一定的風(fēng)險。

但不幸的是,并不是所有用戶都有這么好的安全意識。通常情況下,他們都會隨手的就點擊保存按鈕。

其實如果你仔細(xì)的查看“另存為”彈窗的左下角,你就會發(fā)現(xiàn)那里有一串帶有鏈接的字“Additional settings(其它設(shè)置)”。我們點開鏈接看看,它的背后到底隱藏著什么 。

惡意程序偽裝成Windows“另存為”對話框騙用戶
Ticno隱藏框 [來源:Dr.Web]

Ticno 用于廣告軟件和 Chrome 擴展程序推廣

Dr.Web 說這些打包為 Windows 軟件或 Chrome 擴展的壓縮包,其實里面包含的都是些廣告軟件的安裝選項 。一旦你安裝了它,就會在你的計算機上一次性安裝以下程序:Trojan.ChromePatch.1,Trojan.Ticno.1548,Trojan.BPlug.1590,Trojan.Triosir.718,Trojan.Clickmein.1 和 Adware.Plugin.1400 。

除了以上那些非法的應(yīng)用程序,其中也包含著一些合法的應(yīng)用程序。如 Amigo 瀏覽器 和 Mail.ru 開發(fā)的 HomeSearch@Mail.ru 也包括在內(nèi)。這很可能是軟件聯(lián)盟安裝任務(wù)的一部分,Ticno 的作者從中應(yīng)該也有不錯的收益 。

如果用戶沒有及時發(fā)現(xiàn)此鏈接,并將文件保存,“另存為”對話框?qū)⑥D(zhuǎn)換為一個安裝程序 。

惡意程序偽裝成Windows“另存為”對話框騙用戶
Ticno 開始安裝過程,并非文件下載 [來源:Dr.Web]

責(zé)任編輯:未麗燕 來源: Freebuf.com
惡意軟件Dr.WebTicno
相關(guān)推薦

2017-01-03 20:43:44

2022-01-06 07:53:39

惡意軟件惡意程序網(wǎng)絡(luò)攻擊

2011-05-16 15:42:06

2025-03-10 12:35:47

2023-08-30 07:19:49

2022-09-01 10:28:10

惡意軟件惡意應(yīng)用挖礦

2010-05-05 15:27:24

網(wǎng)絡(luò)安全安全資訊

2011-08-30 10:46:42

2017-02-27 16:28:00

2014-09-01 10:33:34

2025-04-09 11:36:23

2013-12-12 09:40:22

2020-03-14 16:40:15

安全病毒黑客

2013-12-12 11:08:24

惡意軟件IIS服務(wù)器微軟

2020-02-19 09:28:24

刪除Windows 10廣告

2012-07-12 09:56:38

2015-10-09 10:47:56

2021-10-29 16:28:48

Android惡意軟件網(wǎng)絡(luò)攻擊

2017-04-01 02:36:15

2022-06-05 13:59:01

惡意軟件安卓Android
點贊
收藏

51CTO技術(shù)棧公眾號