通过伪造乌克兰相关文件进行传播的恶意软件MiniDuke

路人甲 2014-04-02 19:13:00

一年之前,安全研究人员从杀毒厂商卡巴斯基发现了一个复杂的恶意软件,他们称为 MiniDuke,专门收集和窃取战略信息和受到高度保护的政治信息。

现在,MiniDuke病毒再次通过一个与乌克兰相关的PDF文件在传播。

“考虑到当前该地区的危机,这是件很有趣的事情”安全研究公司F-Secure公司的首席技术官Mikko Hypponen在周二写到。

Hacker News一年前报道了该exp利用的CVE-2013-0640

MiniDuke恶意软件是用汇编编写的,非常小只有20KB,可以劫持Twitter账户。

该恶意软件由三个部分组成: PDF文件, MiniDuke程序和payload。

打开PDF溢出之后,会移除payload,PDF的内容设计人权,乌克兰的外交政策,加入北约计划。

受感染的计算机会通过Twitter或Google接收加密的指令,一旦计算机受到感染就会连接到发送指令的服务器,它开始通过GIF图像文件接收加密的后门。一旦安装,它可以复制,删除,删除文件,创建数据库,停止进程并下载新的恶意软件,也可能会植入其它木马程序。

F-Secure公司还提供了几个被认为更有可能从已经存在的和扭曲乌克兰有关的文件截图。

MiniDuke的作者所做的恶意软件似乎熟悉杀毒软件,这使得它与其它病毒不同的工作原理。该恶意软件包含一个后门,允许它绕过系统的分析,并在病毒被检测到的情况下,会阻止恶意行为,消失在系统当中。

MiniDuke恶意软件之前就攻击力比利时,巴西,保加利亚,捷克共和国,格鲁吉亚,德国,匈牙利,爱尔兰,以色列,日本,拉脱维亚,黎巴嫩,立陶宛,黑山,葡萄牙,罗马尼亚,俄罗斯联邦,斯洛文尼亚,西班牙,土耳其,美国政府机构英国,美国,包括乌克兰。

评论

懒懒滴1994 2014-04-02 20:07:19

额。。

A

after1990s 2014-04-03 15:39:59

机器翻译也能通过审核。

瞌睡龙 2014-04-03 16:14:42

求可以翻译到此程度的机器~

龙辰 2014-04-08 14:11:50

机器翻译也能通过审核。

龙辰 2014-04-08 14:12:06

求可以翻译到此程度的机器~

路人甲

真正的路人甲.

twitter weibo github wechat

随机分类

Exploit 文章:40 篇
PHP安全 文章:45 篇
密码学 文章:13 篇
渗透测试 文章:154 篇
逻辑漏洞 文章:15 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录