少人可能都有過自己裝系統并激活的經驗,但要注意,這一點很可能被網絡犯罪分子利用——將木馬病毒偽裝成激活程序誘騙用戶下載。
近日,火絨威脅情報系統就發現了一款偽裝成Windows非法激活程序的竊密病毒正在傳播。該病毒以Windows_Loader.zip包形式誘導用戶,內含病毒程序,可以獲取用戶電腦和程序信息并且盜取資金,對用戶構成較大安全威脅。
可以看到,該病毒程序偽裝成了Win 7時代最知名的激活器Windows Loader(原作者早已停更)。將該病毒程序與原激活程序對比可發現,病毒程序多了一個activate.exe文件,總體積也要比正常激活程序要大得多。
火絨工程師對樣本進行分析發現,該病毒與CryptBot家族有關。CryptBot是一個竊密軟件,最早出現在2019年,主要在Windows系統中通過釣魚郵件和破解軟件進行傳播。它能竊取受害者瀏覽器的敏感信息,獲取電腦和已安裝程序信息,拍攝上傳屏幕截圖。
該樣本病毒流程圖,如下所示:
受害者一旦雙擊啟動"Windows Loader.exe",其會先后執行同目錄下的 activate.exe 和釋放的 Windows Loader1.exe,其中惡意行為集中在 activate.exe 中。activate.exe 是一個近 700M 的大文件,邏輯代碼包含大量混淆、 SMC、動態加載等操作及近乎全局的內存校驗反調(反軟件斷點)。
據了解,該病毒會竊取瀏覽器相關數據以及受害者電腦的相關信息(用戶名、時間、操作系統、鍵盤語言、CPU、RAM、GPU等),并遍歷注冊表獲取已安裝的用戶程序:
與以往不同的是,此次分析中發現新增了"clipboard hijacker"模塊,通過劫持受害者剪貼板數據,對受害者復制的數據進行正則匹配,篩選出類似于加密貨幣地址的文本字符串,獲取匹配的剪粘板數據后,會用自己內置的錢包地址進行替換,以吸走資金。
非官方渠道獲取的軟件風險未知,建議用戶不要輕信網絡上的激活程序,尤其是那些體積較大的軟件。并且盡量不要關閉殺毒防護,防止個人數據及財產被竊取。
報告鏈接:https://www.huorong.cn/info/17061795351117.html
編輯:左右里
資訊來源:火絨官網
轉載請注明出處和本文鏈接
說明哦,這個代碼不會對電腦造成任何傷害,要破解也很簡單,我會在文末告訴大家哦。
這個代碼的目的就是不斷讓你的電腦彈出提示框,即使你點了確認,或者點了右上角的叉叉,也結束不了,彈出提示框的次數我們可以自己設置,也可以讓他寫成一個循環。
寫好后大概就是這個樣子。
是不是很好玩?其實很簡單哦,來跟著小編一起寫一下吧。
首先我們在桌面上右鍵,新建一個文本文檔。
然后我們打開這個文檔,在里面復制粘貼以下代碼
WScript.Echo("嘿,謝謝你打開我哦,我等你很久拉!"&TSName)
WScript.Echo("你是可愛的小朋嗎?")
WScript.Echo("哈,我想你拉,這你都不知道嗎?")
WScript.Echo("怎么才來,說~是不是不關心我")
WScript.Echo("哼,我生氣拉,等你這么久,心都涼啦。")
WScript.Echo("寶寶很生氣,后果很嚴重哦。")
WScript.Echo("嘿嘿!你也會很慘滴哦")
WScript.Echo("是不是想清除我?")
WScript.Echo("那你要關注我哦!")
WScript.Echo("訪問我的網站也可以哦")
WScript.Echo("網址是www.zhaikukeji.xyz")
WScript.Echo("不想訪問?")
WScript.Echo("那你要點上50下哦,不過會給你驚喜滴")
WScript.Echo("還剩49下,快點點哦")
WScript.Echo("還剩48下,快點,小笨蛋!")
WScript.Echo("還剩47下對,就這樣快點點!")
WScript.Echo("還剩46下。你啊就是笨,要快哦,我先不打擾你工作。")
WScript.Echo("還剩45下,記得要快哦!")
WScript.Echo("還剩43下")
WScript.Echo("還剩42下")
WScript.Echo("還剩15下")
WScript.Echo("還剩14下")
WScript.Echo("還剩13下停停!!!慢點,我有話要說")
WScript.Echo("還剩12下,你繼續點我就會消失滴")
WScript.Echo("還剩11下,以后就看不到我拉。555555")
WScript.Echo("還剩10下,你現在可以選擇停止!")
WScript.Echo("還剩9下。你還點啊,不要我拉?")
WScript.Echo("還剩8下,有點傷心拉,干嘛丟棄人家")
WScript.Echo("還剩7下。瘋了,你有點負意!")
WScript.Echo("還剩6下。對。你就點吧,我恨你!")
WScript.Echo("還剩5下,不明白,刪除我你就好嗎?")
WScript.Echo("還剩4下!真要刪除我?")
WScript.Echo("還剩3下。可是我真的很眷戀你。。。")
WScript.Echo("還剩2下。不要這么絕情嘛,人家是愛你的!")
WScript.Echo("還剩1下。哼,既然你這么絕情。也別怪我無義!!!")
WScript.Echo("我本因該消失的,不過我留戀你滴芳容,上帝又給了一次機會。")
WScript.Echo("想結素我么?那你就再多點一次")
WScript.Echo("想結素我么?那你就再多點一次")
WScript.Echo("想結素我么?那你就再多點一次")
上面的內容就是我們的代碼啦,其實這個代碼很簡單啦,就是不斷地彈出提示,提示的內容都由我們自己填寫,大家也可以自己改一下哦。你也可以將其中一行代碼復制一下,粘貼多次來達到增加次數的目的,注意不要把標點符號刪掉了。
把代碼粘貼好之后,我們點擊右上角的紅叉,選擇保存,然后回到桌面,在剛剛這個文檔上面右鍵-重命名,將后綴名改為VBS。
不知道怎么顯示后綴的同學可以看一下小編以前推送的文章哦,里面有詳細的教程,鏈接在這里。
http://www.toutiao.com/i6380926620953215489/
重命名完成之后,我們的文件就準備好啦,你可以嘗試將文件打開試試?
怎么樣,是不是不斷地彈出提示框,卻不知道怎么關閉?
哈哈,想要關閉有兩個辦法,第一個老老實實地點確定,根據你代碼的多少,點完就可以啦。另一個方法就是打開任務管理器,找到這個任務。
將這個任務結束掉就可以拉。
是不是很好玩?嘗試把這個文件發給別人,誘惑他打開,哈哈哈!
好啦,今天的教程就到這里啦,關注并收藏小編,小編會每天推送好玩又實用的科技信息給你哦。你也可以訪問我們的官網,網址是www.zhaikukeji.xyz
oid Banshee APT組織利用Windows零日漏洞CVE-2024-38112通過禁用的Internet Explorer執行代碼。一個被追蹤為Void Banshee的APT組織被發現利用Windows零日漏洞CVE-2024-38112(CVSS評分為7.5),通過禁用的Internet Explorer執行代碼。
該漏洞是Windows MSHTML平臺欺騙漏洞,要成功利用此漏洞攻擊者需要在利用此漏洞之前采取其他操作來準備目標環境。攻擊者可以通過向受害者發送受害者必須執行的惡意文件來觸發該問題。趨勢科技研究人員發現該漏洞在5月份被積極利用并將其報告給Microsoft,后者通過2024年7月的Patch Tuesday安全更新解決了零日漏洞。
觀察到Void Banshee利用CVE-2024-38112漏洞將Atlantida信息竊取程序投放到受害者的機器上。該惡意軟件允許運營商從多個應用程序收集系統信息并竊取敏感數據,例如密碼和cookie。在該組織的攻擊鏈中Void Banshee試圖誘騙受害者打開包含偽裝成書籍PDF的惡意文件的zip檔案,這些檔案通過云共享網站、Discord服務器和在線圖書館以及其他方式傳播。
APT集團專注于北美、歐洲和東南亞,這次零日攻擊是一個典型的例子,說明不受支持的Windows遺物如何成為一個被忽視的攻擊面,威脅行為者仍然可以利用它來感染毫無戒心的用戶勒索軟件后門或作為其他類型惡意軟件的渠道。
趨勢科技表示Void Banshee利用已禁用的Internet Explorer進程使用特制的HTML應用程序,AE文件帶有MHTML協議處理程序和x-usc!命令,此技術類似于對CVE-2021-40444的利用。CVE-2021-40444是另一個在零日攻擊中被利用的MSHTML漏洞。專家警告說這種攻擊方法非常令人擔憂,因為Internet Explorer不再接收更新或安全修復程序。
報告指出:在這次攻擊中,CVE-2024-38112被用作零日漏洞,通過打開和使用系統禁用的IE重定向到托管惡意HTML應用程序/(HTA)的受感染網站。
在lnternet快捷方式文件的URL參數中,我們可以看到Void Banshee專門使用MHTML協議處理程序和x-usc精心制作了這個URL字符串!此邏輯字符串通過iexplore.exe進程在本機Internet Explorer中打開URL目標。
Void Banshee APT CVE-2024-38112攻擊者使用IE重定向到攻擊者控制的域。在該域中HTML文件下載感染鏈的HTA階段,Void Banshee使用這個HTML文件來控制Internet Explorer的窗口視圖大小,隱藏瀏覽器信息并向受害者隱藏下一個感染階段的下載。
默認情況下IE會提示用戶打開或保存HTML應用程序,但APT組通過向文件擴展名添加空格將HTA文件偽裝成PDF,運行HTA文件后將執行一系列腳本,以及LoadToBadXml.NET特洛伊木馬加載程序、Donut shellcode和Atlantida竊取程序。
在這次活動中,我們觀察到即使用戶可能不再能夠訪問IE,威脅行為者仍然可以利用他們機器上揮之不去的Windows遺留物(如IE)來感染用戶和組織勒索軟件,后門或作為代理來執行其他惡意軟件。
趨勢科技總結道:像Void Banshee這樣的APT組織利用IE等殘疾人服務的能力對全球組織構成了重大威脅。由于IE等服務的攻擊面很大并且不再接收補丁,因此對Windows用戶來說是一個嚴重的安全問題。
開網頁很卡,加載緩慢,修改后的結果:
*請認真填寫需求信息,我們會在24小時內與您取得聯系。