商务人士请警惕,Asruex后门病毒感染两款“热门办公利器”( 二 )
此行为是由于特殊模板在附加主机文件时利用了CVE-2010-2883漏洞。该漏洞可以在Adobe的CoolType.dll的strcat函数中找到,它是一个排版引擎。由于此函数不需要检查要注册的字体的长度,因此可能导致堆栈缓冲区溢出以执行其shellcode。最终其使用XOR解密原始PDF主机文件。此过程如下图所示:
【病毒利用的漏洞】
【解密原始PDF文件】
然后,其会生成并执行嵌入的可执行文件(亚信安全将其命名为Virus.Win32.ASRUEX.A.orig)。
【恶意软件生成的嵌入式可执行文件】
此可执行文件负责反调试和反仿真功能。它检测根目录中是否存在avast!Sandbox \ WINDOWS \ system32 \ kernel32.dll文件,然后,其会进一步检查以下信息来确定其自身是否在沙箱环境中运行:
推荐阅读
- tes战队|LOL:左手并非自由人,圈内人士爆料左手和TES有另外的合同,类似Uzi
- knight|TES也是合同的神?知情人士爆料:Knight并不是自由人
- RNG|LOL:RNG内部人士爆料左手有80%可能去RNG,在走流程,Cryin替补
- fpx战队|FPX下赛季新阵容,某知名人士透露:doinb和nuguri或将离队
- edg战队|圈内专业人士发声,DK有7成概率夺冠,直言只有EDG可以阻挡他们
- 魔兽世界|魔兽世界TBC:什么是便当团、全通团?警惕团长熬鹰
- 原神|原神:一定要警惕好友,稍不注意的话,会被坑到无以复加
- lng|“LNG比去年的LGD强3倍都不止”,韩网热议LNG,Tarzan:小组赛最应该警惕GEN
- lck|前GRF教练谈LCK需警惕的对手,无视中国选手,LEC和LCS更不足为惧
- lpl|知情人士爆料有未进入S11的选手在准备签证,各位置选手里中国选手只有一人上榜!