新型木马InnfiRAT会有什么影响

发布时间:2021-11-30 15:58:10 作者:小新
来源:亿速云 阅读:152

这篇文章主要为大家展示了“新型木马InnfiRAT会有什么影响”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“新型木马InnfiRAT会有什么影响”这篇文章吧。

背景

    国外安全研究人员曝光了一种名为InnfiRAT的新型木马,该木马使用.NET编写,具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外,该木马还会查找主机上的加密货币钱包信息,用于窃取加密货币(莱特币和比特币)。

功能分析

新型木马InnfiRAT会有什么影响

木马进程首先检测自身路径是否为%AppData%\NvidiaDriver.exe,并且终止名为NvidiaDriver.exe的进程,将自身复制到%AppData%\NvidiaDriver.exe再次执行:

新型木马InnfiRAT会有什么影响

以NvidiaDriver.exe重新运行后,会拼接一段base64编码的数据,解码后是一个PE文件,加载到内存中执行:

新型木马InnfiRAT会有什么影响

获取主机信息,检查Manufacturer是否包含相关字符串,以此来进行反虚拟机操作:

新型木马InnfiRAT会有什么影响

创建DuplexChannelFactory来与C&C服务器进行通讯:

tcp://62[.]210[.]142[.]219:17231/Ivictim

新型木马InnfiRAT会有什么影响

检查是否存在相关分析工具的进程,如果存在,将结束该进程:

新型木马InnfiRAT会有什么影响

创建定时任务执行木马母体:

新型木马InnfiRAT会有什么影响

从指定连接下载和执行文件:

新型木马InnfiRAT会有什么影响

窃取UserProfile信息发送的C&C端:

新型木马InnfiRAT会有什么影响

窃取下列指定浏览器的Cookie信息:

Chrome、Yandex、Kometa、Amigo、Torch、Orbitum、Opera

新型木马InnfiRAT会有什么影响

窃取加密货币钱包信息:

新型木马InnfiRAT会有什么影响

IOCs

MD5:

 f992dd6dbe1e065dff73a20e3d7b1eef

URL:

tcp://62.210.142.219:17231/IVictim

以上是“新型木马InnfiRAT会有什么影响”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

推荐阅读:
  1. 使用eval函数会有什么影响
  2. 不懂英语学python会不会有影响

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:Java和C++的差异有哪些

下一篇:C/C++ Qt TreeWidget单层树形组件怎么应用

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》