详细内容或原文请订阅后点击阅览
Turla:逃避艺术大师
Turla 是一种著名的恶意软件,它利用 LNK 文件来感染计算机。我们最近就发现了一个这样的示例。请阅读本文,了解更多详细信息!
来源:G DATA _恶意软件此文档是一个诱饵,旨在转移人们对 ChromeConnection 在后台执行的恶意活动的注意力。该文件是一个恶意的 MSBuild 项目文件,在被 PowerShell 脚本触发后,将由 msbuild.exe 加载。
ChromeConnection该项目文件仅适用于 64 位操作系统,因为其中指示的程序集文件位于 Microsoft.Net 的 Framework64 目录中。通过 msbuild.exe 执行项目文件“ChromeConnection”后,它会创建一个计划任务作为恶意软件持久性机制的一部分:
/create /sc MINUTE /mo 30 /st 07:00:00 /tn "ChromeConnection" /tr "cmd /c start /min %windir%\Microsoft.NET\Framework64\v4.0.30319\MSBuild %temp%\ChromeConnection" /f
/create /sc MINUTE /mo 30 /st 07:00:00 /tn "ChromeConnection" /tr "cmd /c start /min %windir%\Microsoft.NET\Framework64\v4.0.30319\MSBuild %temp%\ChromeConnection" /f
我们可以看到,“ChromeConnection”每30分钟启动一次,从早上7点开始。然后它将项目文件的混淆负载加载到系统中。此负载是一个无文件后门。