国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　5月9號上午8點，在某大年夜型企業(yè)擺設(shè)的APT防御設(shè)備捕獲到了操縱金融作為主題，以美國花旗銀行的郵件賬戶源的報復(fù)打擊郵件，附帶DOC的報復(fù)打擊文檔，并且在該企業(yè)內(nèi)網(wǎng)郵件大年夜量傳播。同時我們發(fā)現(xiàn)該報復(fù)打擊首要報復(fù)打擊從事金融方面或相干的企業(yè)。

　　該報復(fù)打擊穿透大年夜部門傳統(tǒng)的收集安然防護(hù)產(chǎn)品，請各大年夜企事業(yè)單位存眷這波報復(fù)打擊，避免首要資產(chǎn)流掉。

　　APT防御設(shè)備捕獲圖：

　　Email原文以美國花旗銀行的賬戶為源，并棍騙附件是花旗銀行的付出電子商戶聲明

　　被報復(fù)打擊者打開后將會觸發(fā)CVE2012-0158縫隙，并打開利誘性的DOC文檔

　　利誘性DOC

　　縫隙觸發(fā)shellcode履行后，在姑且目次釋放paw.EXE 并履行

　　該exe履行后先復(fù)制本身至C:\Documents and Settings\***\Application Data 隨機(jī)生成的目次下，經(jīng)由過程不合的啟動標(biāo)記履行響應(yīng)把持

　　第一次履行復(fù)制本身后，便釋放tmp53865f51.bat 刪除本身及文件

　　bat

　　@echo off

　　:d

　　del "C:\Documents and Settings\***\桌面\paw.exe"

　　if exist "C:\Documents and Settings\***\桌面\paw.exe" goto d

　　del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

　　第二次履行首要列舉過程，找到合適前提的過程，注進(jìn)到系統(tǒng)explorer過程 大年夜小0×48000

　　注進(jìn)代碼首要功能：列舉系統(tǒng)過程、查找文件、獲得計較機(jī)信息、系統(tǒng)環(huán)境等信息經(jīng)由過程加密的編制發(fā)送到遠(yuǎn)處辦事器上，同期間碼履行過程中有大年夜量的反調(diào)試器跟蹤。

　　該報復(fù)打擊樣本存在大年夜量的收集連接辦事器節(jié)點，漫衍在不合國度，此中有美國，俄羅斯，荷蘭等，采取了近似P2P Variant of Zeusbot/Spyeye和談。

　　來自http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye

　　連接數(shù)據(jù)包