近日,8087金沙娱场城捕获了一款仿冒Word文档的木马病毒FakeWord,该病毒将自身放置在具有系统以及隐藏属性的文件夹中,伪装成Word文档的快捷方式,利用社会工程学诱导用户启动自身。自身运行后会释放并打开正常的“简历”Word文档来迷惑用户,在打开“简历”文档的同时,其会继续释放并运行第二阶段木马。第二阶段木马运行后会解密出恶意Dll,并将Dll注入到正常程序中,然后调用Dll中的导出函数在被注入的程序中创建远程线程。最终,在被注入的进程中运行CS Beacon。目前8087金沙娱场城最新病毒码版本和DDAN沙盒平台已支持检测!
√ 8087金沙娱场城病毒码版本17.193.60,云病毒码版本17.193.71,全球码版本17.193.00已经可以检测,请用户及时升级病毒码版本。
√ 8087金沙娱场城DDAN沙盒平台已经可以检测。
Target:C:\Windows\explorer.exe ".__MACOSX\XXX-前端开发.exe"
该病毒将自身放置在具有系统以及隐藏属性的文件夹中:
打开Word文档后,释放第二阶段木马:
运行第二阶段木马:
该木马具有反调试功能:
其运行后会解密出恶意Beacon Dll:
接下来,该样本进行反射式Dll注入:
通过Virus total我们可以查看该恶意Dll检测信息:
该样本外联如下地址:
5qpk7dy70m93c[.]cfc-execute[.]bj[.]baidubce[.]com
√ 打开系统自动更新,并检测更新进行安装;
√ 不要点击来源不明的邮件以及附件;
√ 不要点击来源不明的邮件中包含的链接;
√ 请到正规网站或者应用商店下载程序;
√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
√ 尽量关闭不必要的端口;
√ 尽量关闭不必要的网络共享;