https://securelist.com/shadowpad/81432/
1、用 DNS 服务来做 C&C 服务器,连接的服务器域名根据当前时间日期生成(这个倒不是啥新技术,2009 年的 Conficker 就做到了,以前轮子的某门有个版本也用过伪装 DNS 协议)
2、部分代码加密,从 C&C 服务器取得密钥并解密该部分
3、可以从 C&C 服务器继续下载恶意代码模块,并加密保存在注册表(用注册表保存恶意代码,这个我以前真的没想到过,最多想到过在 autorun.inf 里的垃圾字段里加密保存代码,U 盘病毒 exe、漏洞 ani 将其加载后将其读出并启动后自删除)中根据系统唯一标识而生成的特定位置。
1、用 DNS 服务来做 C&C 服务器,连接的服务器域名根据当前时间日期生成(这个倒不是啥新技术,2009 年的 Conficker 就做到了,以前轮子的某门有个版本也用过伪装 DNS 协议)
2、部分代码加密,从 C&C 服务器取得密钥并解密该部分
3、可以从 C&C 服务器继续下载恶意代码模块,并加密保存在注册表(用注册表保存恶意代码,这个我以前真的没想到过,最多想到过在 autorun.inf 里的垃圾字段里加密保存代码,U 盘病毒 exe、漏洞 ani 将其加载后将其读出并启动后自删除)中根据系统唯一标识而生成的特定位置。
1
Select Language