DanaBot木马程序新变种中加入勒索功能组件
日期:2019/7/11 10:29:29 来源:国家计算机病毒应急处理中心 作者:国家计算机病毒应急处理中心 阅读:105次
2019年6月20日,以色列的Check Point公司发布报告称,一种名为“DanaBot”的Windows平台木马程序通过电子邮件进行传播。在最新的DanaBot木马变种中加入了勒索功能组件。一旦感染,会导致用户文件被加密,需支付赎金才能解密文件。DanaBot木马通过以核对收费账单为诱饵的电子邮件进行传播,用户点击附件里的word文档中的链接后会被重定向到其他网站。DanaBot的活动范围主要是澳大利亚、新西兰、美国和加拿大,最近已经蔓延至欧洲。DanaBot木马具有以下功能:窃取浏览器和FTP客户端凭据、收集加密钱包凭据、在受感染的计算机上运行代理、截取屏幕截图和录制视频;通过RDP或VNC提供远程控制、通过TOR匿名网络请求更新、使用WUSA白利用机制绕过Windows用户帐户控制(UAC)、从C&C服务器请求更新并执行命令等。DanaBot木马新变种中捆绑了NonRansomware勒索软件的某个变种,该勒索软件会扫描本地驱动器上的文件并加密除Windows目录之外的所有文件,被加密文件的扩展名为.non。此外,DanaBot新变种的下载器模块还改变了它的通信协议,用AES256+RSA加密。
更新日期:2019/7/11 10:29:29