精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Flashpoint安全研究人員警告：最近觀測到的Dridex投放行動利用了新的UAC(用戶賬戶控制)規(guī)避方法。

Dridex最先于2014年被發(fā)現(xiàn)，因其使用了 GameOver ZeuS (GoZ) 惡意軟件點對點架構(gòu)改進版來保護其命令與控制(C&C)服務(wù)器，而被認為是GoZ的繼任者。Dridex作為最流行的銀行木馬家族冒頭，但其最近的活動相比2014和2015年時的還是有所平緩。

最近觀察到的Dridex活動比較小型，針對英國金融機構(gòu)，采用了前所未見的UAC規(guī)避方法——利用Windows默認恢復(fù)光盤程序recdisc.exe。該惡意軟件還被觀測到通過偽裝的SPP.dll來加載惡意代碼，利用svchost和spoolsrv來與第一級C&C服務(wù)器和其他節(jié)點進行通信。

與其他惡意軟件類似，Dridex通過帶Word文檔附件的垃圾郵件進行投送，附件中就隱藏有可下載并執(zhí)行惡意軟件的惡意宏。最先釋放的模塊用于下載主Dridex負載。感染后，該木馬會從當前位置移動到%TEMP%文件夾。

惡意軟件感染后，Dridex令牌搶奪和Web注入模塊能使欺詐操作者快速獲得搞定身份驗證和授權(quán)問題所需的額外信息，讓這些反欺詐系統(tǒng)和金融機構(gòu)的安全措施毫無用武之地。黑客還能創(chuàng)建自定義的對話窗口，偽裝成來自銀行的調(diào)查，誘使受害者自己填入所需信息。

在被感染的機器上，Dridex利用Windows默認恢復(fù)光盤程序recdisc.exe，來加載偽造的SPP.dll，并繞過 Windows 7 的UAC防護。之所以能做到這一點，是因為該平臺會自動提升該程序的權(quán)限，其他進入自動提升權(quán)限白名單的應(yīng)用也有此待遇。Dridex利用了該特性來執(zhí)行兩條指令。

為繞過UAC，Dridex在WindowsSystem32886下創(chuàng)建目錄，然后將合法的程序從WindowsSystem32 ecdisc.exe拷貝過來。接下來，將自身拷貝到%APPDATA%LocalTemp，以臨時文件的形式存在，再拷貝成為WindowsSystem32886SPP.dll。然后，刪除 WindowsSystem32下的 wu*.exe和po*.dll，執(zhí)行recdisc.exe，以管理員權(quán)限將自身加載成 SPP.dll。

該銀行木馬會在4431-4433端口與其他節(jié)點通信。該案例中，其他對等節(jié)點就是Dridex已經(jīng)控制了的其他計算機。