详细内容或原文请订阅后点击阅览
假 WinRAR 下载将恶意软件隐藏在真实安装程序后面
我们解压了一个木马化的 WinRAR 下载文件,该下载文件将 Winzipper 恶意软件隐藏在真实安装程序的后面。
来源:Malwarebytes Labs 博客我们网络研究团队的一名成员向我指出了一个从多个中国网站链接到的假 WinRAR 安装程序。当这些链接开始出现时,通常是新营销活动的良好指标。
因此,我下载了该文件并开始分析,结果发现它是一个俄罗斯套娃。一层又一层,又一层。
WinRAR 是一种流行的实用程序,通常从“非官方”网站下载,这使得提供虚假下载的活动更有可能有效。
通常,这些有效负载包含自解压或多级组件,可以下载更多恶意软件、建立持久性、窃取数据或打开后门,所有这些都取决于初始系统分析。因此,毫不奇怪,该恶意软件采取的第一个操作就是以 Windows 配置文件信息的形式访问敏感的 Windows 数据。
这与我们分析的其他结果(见下文)一起表明该文件在进一步损害或感染受影响的系统之前为受影响的系统选择了“最适合”的恶意软件。
如何保持安全
当您寻找软件来解决问题时,特别是当您想要快速解决问题时,很容易犯错误。一些简单的提示可以帮助您在这种情况下保持安全。
分析
原始文件名为 winrar-x64-713scp.zip,使用 Detect It Easy (DIE) 进行的初步分析已经暗示了多个层。
查看解压后的文件,DIE 显示了另一层:(Heur)Packer:压缩或打包数据[SFX]。查看文件内的字符串,我注意到两个 RunProgram 实例:
RunProgram="nowait:\"1winrar-x64-713scp1.exe\" "
RunProgram="nowait:\"youhua163
使用 PeaZip,我提取了两个嵌入文件。