Bondat蠕虫利用可移动磁盘传播,通过隐藏真实文件并创建指向恶意bat文件的快捷方式进行伪装。它还采用代码混淆手段逃避杀毒软件检测,并能够终止安全软件进程。此外,该蠕虫还能针对WordPress网站实施爆破攻击并植入PHP后门。
转载来自:http://www.mottoin.com/109730.html
(1)可移动磁盘传播
手段:隐藏U盘文件,创建快捷方式指向病毒bat文件。
Bondat蠕虫主要通过可移动磁盘传播,并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件(例如doc、jpg),在创建与这些文件同名的快捷方式的同时隐藏这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。图5展示了被用于隐蔽Bondat蠕虫的文件格式。
(2)混淆对抗杀毒软件查杀。
Bondat蠕虫也会与杀毒软件进行对抗,最显而易见的就是其对主体JS脚本代码进行大量混淆,这不仅影响杀毒软件的判断也增加了分析人员的工作量。图6展示了Bondat蠕虫部分代码混淆前后的对比,可以看出原本简单的代码经过混淆后变得相当复杂。
(3)结束杀毒软件进程,并伪造一个错误的弹框。
错误的弹框如下:
(4)针对wordpress爆破并安装php后门
转载于:https://blog.51cto.com/antivirusjo/2105227
扫一扫
626
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
