QBot 滥用 Win10 写字板执行文件、劫持 DLL 感染设备
win7之家 5 月 29 日消息,根据国外科技媒体 BleepingComputer 报道,安全专家和 Cryptolaemus 成员 ProxyLife 发现了新的 QBot 网络钓鱼活动,滥用 Win10 系统中的写字板可执行文件 write.exe,通过 DLL 劫持漏洞传播。
QBot,也称为 Qakbot,是一种 Windows 恶意软件。QBot 最初作为银行木马出现,随后演变成为恶意软件投放器。
安全专家目前已经确认 Black Basta,Egregor 和 Prolock 等勒索软件团伙,使用该恶意软件,对多家企业网络发起勒索攻击。
受害者点击链接之后,会从远程主机下载一个随机命名的 ZIP 压缩文件。该文档中包含 document.exe 和名为 edputil.dll 的 DLL 文件(用于 DLL 劫持)。
win7之家在此附上截图,查看 document.exe 属性,可以看到是合法写字板文件 Write.exe 的重命名版本。
当 document.exe 启动时,它会自动尝试加载一个名为 edputil.dll 的合法 DLL 文件,该文件通常位于 C:\Windows\System32 文件夹中。
当可执行文件尝试加载 edputil.dll 时,优先会加载同一文件路径下的问题 edputil.dll 文件。
最新推荐
-
win7系统中自带的游戏删除了怎么办 win7自带游戏没了怎么办
win7系统中自带的游戏删除了怎么办?在win7系统中自带很多经典的系统游戏,但是有的用户想要体验的时候发 […]
-
win11文件夹只读模式怎么解除 文件夹只读模式解除步骤
win11文件夹只读模式怎么解除?在最新的win11系统中,系统会默认使用高安全的保护功能,比如很多用户都 […]
-
Win10电脑屏保广告如何取消 关闭win10锁屏界面广告
Win10电脑屏保广告如何取消?很多用户在使用win10系统中,发现只要自己锁屏,电脑界面会显示一个播放广 […]
-
edge开发者选项在哪里打开 edge浏览器打开开发者模式
edge开发者选项在哪里打开?edge浏览器是windows系统自带的浏览器,对于开发工作人员来说,在测试 […]
-
电脑局域网工作机组怎么设置 win7建立局域网工作组的方法
电脑局域网工作机组怎么设置?在使用电脑过程中,通过设置工作机组,可以很好的串联区域电脑,进行数据传输文件互 […]
-
win10如何查看网卡是否千兆 电脑查看网口速率怎么看
win10如何查看网卡是否千兆?电脑的网口速率,影响着电脑上传下载的速度,但是很多用户都不清楚自己的网卡是 […]
热门文章
win7系统中自带的游戏删除了怎么办 win7自带游戏没了怎么办
2win11文件夹只读模式怎么解除 文件夹只读模式解除步骤
3Win10电脑屏保广告如何取消 关闭win10锁屏界面广告
4edge开发者选项在哪里打开 edge浏览器打开开发者模式
5电脑局域网工作机组怎么设置 win7建立局域网工作组的方法
6win10如何查看网卡是否千兆 电脑查看网口速率怎么看
7win11允许安装外部应用的设置在哪里 win11安装被阻止彻底解决方法
8yuzu模拟器安卓添加游戏 yuzu模拟器手机版教程
9win10玩cf不能全屏怎么办 win10玩cf无法全屏的解决办法
10wallpaper engine怎么开机自启动 wallpaper engine自启动设置
随机推荐
专题工具排名 更多+
闽公网安备 35052402000378号