打单病毒冲着企业处事器来了 CSO们怕了么?
发布时间:2018-07-09 12:06:46 所属栏目:教程 来源:腾讯御见
导读:【资讯】 一、配景 近期,针对Windows处事器进攻的打单病毒一连撒播,尤其是2018年年头海内数家机构处事器被GlobeImpsoter打单病毒进攻,导致营业大面积瘫痪,这引起了各人对处事器安详的存眷。 按照腾讯御见威胁谍报中心监控,每周都有企业Windows处事器
|
解密出来的bat文件内容如下 Bat会删除长途桌面毗连信息文件default.rdp,并通过wevtutil.execl呼吁删除日记信息 四、Crysis样天职析 1.病毒通过自建IAT的方法,运行后起首解密必要行使的动态库,API字串,随后通过LoadLibraryA,GetProcAddress轮回遍素来动态获取理会行使的API,获取函数地点后添补IAT表,随后病毒全部的API挪用均行使: MOVEAX,[IAT-FUN-ADDR] jmp004066c0 004066c0:CallEAX 的方法来间接挪用,这样做也导致了静态说明环境下导入表中无法看到病毒挪用相干敏感Api。 2.运行后的病毒起首会封锁以下大量处事,来确保待加密文件不被占用,加密文件时不会发生非常。 3.同时竣事下列历程,首要为数据库相干历程,其目标也是为了防备加密文件被占用,从封锁的历程列表也可看出,病毒首要进攻行使sqlserver,mysql数据库的处事器。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
