『新智元』Google Play应用被植入病毒,背后又是这个黑客组织搞的鬼( 二 )
从资源解密的shellcode被执行后 , 伪字体更新程序将删除另一个应用程序 , 也就是释放了「脏弹」之后再把自己删掉 。
Shellcode
Shellcode检索三个Windows API函数:VirtualAlloc , RtlMoveMemory和RtlZeroMemory 。
Real Dropper
该可执行文件通过Windows API使用具有CBC模式的AES算法解密其资源 , 然后就得到了合法的可执行程序rastlsc.exe 。
本文插图
backdoor launcher
rastlsc.exe通过在同一文件夹内写入恶意库rastlsc.dll来利用合法且经过签名的可执行文件的库加载后门程序 , 这样它看起来就合法了 , 因为这些操作是由受信任的可执行进程执行的 。
作为普通用户 , 我们要时刻提高警惕 , 不打开来源不明的软件 , 及时更新系统补丁和杀毒软件 , 尽量避免遭受此类攻击 。
推荐阅读
- |麒麟990加持 荣耀Play4 Pro价格2000元以下
- 右手网|Android 手机将通过 Google Clock 更新获得 “就寝模式” 等新功能
- google|shopify卖家快上车!google送免费广告位了
- 飞象网|Google为Pixel机型推送6月安全补丁
- 麒麟|麒麟990加持 荣耀Play4 Pro价格2000元以下
- 新智元|B站上线!DeepMind加UCL强强联手推出深度学习与强化学习进阶课程(附视频)
- 手机之家|荣耀Play 4系列明天发布 搭载40W超级快充
- |麒麟990下放 荣耀Play4系列明天发布:40W超级快充
- 机智万象|原创 高管确认荣耀Play4系列将支持红外测温 网友曝光全系配置差异明显
- 数码圈那些事er|荣耀Play4 Pro详细配置曝光