精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Flashpoint安全研究人員警告：最近觀測到的Dridex投放行動利用了新的UAC(用戶賬戶控制)規避方法。

Dridex最先于2014年被發現，因其使用了 GameOver ZeuS (GoZ) 惡意軟件點對點架構改進版來保護其命令與控制(C&C)服務器，而被認為是GoZ的繼任者。Dridex作為最流行的銀行木馬家族冒頭，但其最近的活動相比2014和2015年時的還是有所平緩。

最近觀察到的Dridex活動比較小型，針對英國金融機構，采用了前所未見的UAC規避方法——利用Windows默認恢復光盤程序recdisc.exe。該惡意軟件還被觀測到通過偽裝的SPP.dll來加載惡意代碼，利用svchost和spoolsrv來與第一級C&C服務器和其他節點進行通信。

與其他惡意軟件類似，Dridex通過帶Word文檔附件的垃圾郵件進行投送，附件中就隱藏有可下載并執行惡意軟件的惡意宏。最先釋放的模塊用于下載主Dridex負載。感染后，該木馬會從當前位置移動到%TEMP%文件夾。

惡意軟件感染后，Dridex令牌搶奪和Web注入模塊能使欺詐操作者快速獲得搞定身份驗證和授權問題所需的額外信息，讓這些反欺詐系統和金融機構的安全措施毫無用武之地。黑客還能創建自定義的對話窗口，偽裝成來自銀行的調查，誘使受害者自己填入所需信息。

在被感染的機器上，Dridex利用Windows默認恢復光盤程序recdisc.exe，來加載偽造的SPP.dll，并繞過 Windows 7 的UAC防護。之所以能做到這一點，是因為該平臺會自動提升該程序的權限，其他進入自動提升權限白名單的應用也有此待遇。Dridex利用了該特性來執行兩條指令。

為繞過UAC，Dridex在WindowsSystem32886下創建目錄，然后將合法的程序從WindowsSystem32 ecdisc.exe拷貝過來。接下來，將自身拷貝到%APPDATA%LocalTemp，以臨時文件的形式存在，再拷貝成為WindowsSystem32886SPP.dll。然后，刪除 WindowsSystem32下的 wu*.exe和po*.dll，執行recdisc.exe，以管理員權限將自身加載成 SPP.dll。

該銀行木馬會在4431-4433端口與其他節點通信。該案例中，其他對等節點就是Dridex已經控制了的其他計算機。