天创培训:您身旁的信息安全培训专家!
栏目列表
澳门金沙wwwjs55com
开班方案
CISP-PTE浸透测试工程师7月班
主讲教师   张教师、高教师等
开课工夫   2019年7月22日-30日
培训方法   实地/面授
讲课天次   9天
上课工夫   09:00 -- 17:00
课程引见 在线报名
2019年7月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年7月16日-21日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
课程引见 在线报名
手艺中心您当前位置: > 资本专区 > 手艺中心

恶意程序假装成 Windows“另存为”对话框棍骗用户

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2016-12-28  关键词:恶意程序

当前一些经由过程附加及绑缚在其它使用的歹意软件,为了胜利的安装到用户体系上,开端利用一种较为狡诈的方法来试图棍骗用户。
歹意软件阐发师 Dr.Web 在本月检测到,歹意软件 Ticno(Trojan.Ticno.1537),这类木马具有十分壮大的 防检测 的特性。
Ticno 其实不像那些通例的歹意软件下载法式一样,自觉的去监听指令,并将 payload 安装到受传染体系 。它具有扫描潜伏主机体系的功用,并以此来肯定受传染的计算机,到底是一个实在的 PC ,仍是一个供安全研究人员用来扫描和阐发歹意软件的虚拟机 。
按照 Dr.Web 的研讨阐发发明,Ticno 会扫描以下这些历程:
irise.exeIrisSvc.exewireshark.exeZxSniffer.exeRegshot.exeollydbg.exePEBrowseDbg.exeSyser.exeVBoxService.exeVBoxTray.exeSandboxieRpcSs.exeSandboxieDcomLaunch.exewindbg.exeollydbg.exevmtools.exe
另外,它还会对以下枚举的这些计算机注册表项停止扫描:
HKCU\Software\CommView
HKLM\SYSTEM\CurrentControlSet\Services\IRIS5
HKCU\Software\eEye Digital Security
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
hklm\SOFTWARE\ZxSniffer
HKCU\Software\Win Sniffer
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\APIS32
HKCU\Software\Syser Soft
hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
HKLM\SYSTEM\CurrentControlSet\Services\VBoxGuest
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
HKCU\Software\Classes\Folder\shell\sandbox
HKCU\Software\Classes\*\shell\sandbox
假如这些查抄中超越三个以上胜利婚配,Ticno 就会截至扫描行动,并会启动一个 Windows Explorer 历程来作为钓饵 。
可是,假如这些查抄都没问题的话,Ticno 就会向体系用户弹出一个“另存为”的对话框,要求用户将名为 1.zip 的文件保留到计算机上 。
澳门金莎赌场官方网址
Ticno 提醒用户,将文件保留到磁盘 [滥觞:Dr.Web]
在这里有经历的用户能够就会发觉到,这类无滥觞的未知安装法式,可能会给本人的计算机带来必然的风险。
但不幸的是,其实不是所有用户都有这么好的安全意识。凡是状况下,他们城市顺手的就点击保留按钮。
实在假如你认真的检察“另存为”弹窗的左下角,你就会发明那边有一串带有链接的字“Additional settings(其它设置)”。我们点开链接看看,它的背后到底躲藏着什么 。
金沙澳门官网4066
Ticno躲藏框 [滥觞:Dr.Web]
Ticno 用于告白软件和 Chrome 扩大法式推行
Dr.Web 说这些打包为 Windows 软件或 Chrome 扩大的紧缩包,实在内里包罗的都是些告白软件的安装选项 。一旦你安装了它,就会在你的计算机上一次性安装以下法式:Trojan.ChromePatch.1,Trojan.Ticno.1548,Trojan.BPlug.1590,Trojan.Triosir.718,Trojan.Clickmein.1 和 Adware.Plugin.1400 。
除了以上那些不法的应用程序,此中也包罗着一些正当的应用程序。如 Amigo 浏览器 和 Mail.ru 开辟的 [email protected] 也包罗在内。这很可能是软件同盟安装使命的一部分,Ticno 的作者从中该当也有不错的收益 。
假如用户没有实时发明此链接,并将文件保留,“另存为”对话框将转换为一个安装法式 。
www.js333.com
Ticno 开端安装历程,并不是文件下载
 


0澳门金莎赌场官方网址

推荐浏览

金沙总站娱乐网址
 |  关于天创 |  课程体系 |  最新动态 |  联络我们 |  网站舆图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000
www.js333.com