商务人士请警惕,Asruex后门病毒感染两款“热门办公利器”( 四 )
【用于感染Word文档的模板】
CVE-2012-0158漏洞允许可能的攻击者通过Word文档或网站远程执行任意代码。与被感染的PDF类似,运行后,其仍然会显示原始Word文件,让用户相信其仅仅打开了正常的Word文件,实际上,被感染的Word文件将在后台生成并执行感染文件。然后其使用XOR来解密原始DOC文件,生成并执行rundll32.exe文件。
【使用XOR解密原始DOC文件】
【使用不同的文件名生成和执行感染文件】
被感染的可执行文件
除了感染Word文档和PDF文件外,恶意软件还会感染可执行文件。该Asruex变种压缩并加密原始可执行文件或主机文件,并将其作为.EBSS节附加在恶意文件中。恶意软件同样会生成感染文件,同时也会正常地执行主机文件。对于被感染的可执行文件,其生成的感染文件名是随机分配的。
推荐阅读
- tes战队|LOL:左手并非自由人,圈内人士爆料左手和TES有另外的合同,类似Uzi
- knight|TES也是合同的神?知情人士爆料:Knight并不是自由人
- RNG|LOL:RNG内部人士爆料左手有80%可能去RNG,在走流程,Cryin替补
- fpx战队|FPX下赛季新阵容,某知名人士透露:doinb和nuguri或将离队
- edg战队|圈内专业人士发声,DK有7成概率夺冠,直言只有EDG可以阻挡他们
- 魔兽世界|魔兽世界TBC:什么是便当团、全通团?警惕团长熬鹰
- 原神|原神:一定要警惕好友,稍不注意的话,会被坑到无以复加
- lng|“LNG比去年的LGD强3倍都不止”,韩网热议LNG,Tarzan:小组赛最应该警惕GEN
- lck|前GRF教练谈LCK需警惕的对手,无视中国选手,LEC和LCS更不足为惧
- lpl|知情人士爆料有未进入S11的选手在准备签证,各位置选手里中国选手只有一人上榜!