主要观点总结
本文详细分析了一个虚假中文版Telegram钓鱼样本,揭示了其母体加载程序的运作机制。样本通过伪装成合法的Telegram中文版安装程序来传播恶意软件,涉及多个恶意模块和复杂操作,如反调试、反虚拟机检测和对抗安全软件等。文章还提到了全球黑客组织利用恶意软件进行攻击活动的威胁情报。
关键观点总结
关键观点1: 样本伪装成合法的Telegram中文版安装程序进行传播。
样本通过伪装成合法的安装程序来欺骗用户下载和安装恶意软件,这是一种常见的网络钓鱼攻击手段。
关键观点2: 样本涉及多个恶意模块和复杂操作。
安装程序会启动恶意模块,进行反调试、反虚拟机检测、对抗安全软件等一系列操作,以躲避检测和隐藏自身。
关键观点3: 样本具有持久化操作特性。
通过安装对应的服务进行持久化操作,使得恶意软件能够在系统中长期存在并持续进行攻击活动。
关键观点4: 全球黑客组织利用恶意软件进行广泛攻击。
文章提到了全球各地都在发生恶意软件攻击活动,黑客组织不断更新攻击样本和技术,对企业和个人构成严重威胁。
文章预览
安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处: https://xz.aliyun.com/t/15863 先知社区 作者:熊猫正正 最近笔者发现一个虚假中文版Telegram钓鱼样本,对该样本母体加载程序进行了详细分析,分享出来供大家参考学习,不要从非官方网站下载安装应用,不然很容易中招。 详细分析 1.样本伪装为Telegram中文版安装程序,如下所示: 2.解析出安装程序的安装脚本,安装完成之后,会启动目录下的loFsoirtplugLaer.exe程序,如下所示: 3.安装完成之后,对应的安装目录文件结构,如下所示: 4.通过白+黑的方式,利用loFsoirtplugLaer.exe加载恶意模块python36.dll,如下所示: 5.恶意模块的数字签名信息,如下所示: 6.检测是否存在调试器,反调试操作,如下所示: 7.查询进程信息,反调试操作,如下所示: 8.通过Sleep、主机内存信息、CPU信息
………………………………
