bondat蠕虫传播与对抗

Bondat蠕虫利用可移动磁盘传播,通过隐藏真实文件并创建指向恶意bat文件的快捷方式进行伪装。它还采用代码混淆手段逃避杀毒软件检测,并能够终止安全软件进程。此外,该蠕虫还能针对WordPress网站实施爆破攻击并植入PHP后门。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载来自:http://www.mottoin.com/109730.html

(1)可移动磁盘传播
手段:隐藏U盘文件,创建快捷方式指向病毒bat文件。
Bondat蠕虫主要通过可移动磁盘传播,并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件(例如doc、jpg),在创建与这些文件同名的快捷方式的同时隐藏这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。图5展示了被用于隐蔽Bondat蠕虫的文件格式。

(2)混淆对抗杀毒软件查杀。

Bondat蠕虫也会与杀毒软件进行对抗,最显而易见的就是其对主体JS脚本代码进行大量混淆,这不仅影响杀毒软件的判断也增加了分析人员的工作量。图6展示了Bondat蠕虫部分代码混淆前后的对比,可以看出原本简单的代码经过混淆后变得相当复杂。

bondat蠕虫传播与对抗

(3)结束杀毒软件进程,并伪造一个错误的弹框。

错误的弹框如下:
bondat蠕虫传播与对抗

(4)针对wordpress爆破并安装php后门

bondat蠕虫传播与对抗

转载于:https://blog.51cto.com/antivirusjo/2105227

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值