QBot 滥用 Win10 写字板执行文件、劫持 DLL 感染设备
win7之家 5 月 29 日消息,根据国外科技媒体 BleepingComputer 报道,安全专家和 Cryptolaemus 成员 ProxyLife 发现了新的 QBot 网络钓鱼活动,滥用 Win10 系统中的写字板可执行文件 write.exe,通过 DLL 劫持漏洞传播。
QBot,也称为 Qakbot,是一种 Windows 恶意软件。QBot 最初作为银行木马出现,随后演变成为恶意软件投放器。
安全专家目前已经确认 Black Basta,Egregor 和 Prolock 等勒索软件团伙,使用该恶意软件,对多家企业网络发起勒索攻击。
受害者点击链接之后,会从远程主机下载一个随机命名的 ZIP 压缩文件。该文档中包含 document.exe 和名为 edputil.dll 的 DLL 文件(用于 DLL 劫持)。
win7之家在此附上截图,查看 document.exe 属性,可以看到是合法写字板文件 Write.exe 的重命名版本。
当 document.exe 启动时,它会自动尝试加载一个名为 edputil.dll 的合法 DLL 文件,该文件通常位于 C:\Windows\System32 文件夹中。
当可执行文件尝试加载 edputil.dll 时,优先会加载同一文件路径下的问题 edputil.dll 文件。
最新推荐
-
谷歌浏览器下载文件存储位置怎么修改
谷歌浏览器下载文件存储位置怎么修改?谷歌浏览器是一款开源的强大的浏览器,支持用户进行自定义的设置,那如果用 […]
-
火狐浏览器打不开该网页因为无法连接到服务器怎么解决
火狐浏览器打不开该网页因为无法连接到服务器怎么解决?火狐浏览器拥有强大丰富的功能,很受用户欢迎,但是有的用 […]
-
mac如何设置屏幕常亮不黑屏 mac不黑屏设置方法
mac如何设置屏幕常亮不黑屏?苹果电脑系统中很多功能也跟win系统类似,比如常用的亮度功能等,都可以通过调 […]
-
win11系统怎么和手机连接 win11连接手机功能
win11系统怎么和手机连接?在最新的win11系统中,微软提供了连接手机功能,通过win11系统与手机进 […]
-
win113d加速如何开启 win11怎么开启高性能模式
win113d加速如何开启?在电脑系统中,用户通过开启3d加速功能,可以让游戏显得更流畅,更好的展现图像效 […]
-
win10没有有效ip配置该怎么解决 Win10以太网没有有效的IP配置
win10没有有效ip配置该怎么解决?本地连接没有有效的IP配置的问题,其实是因为你的电脑无法正常获取到网 […]
热门文章
谷歌浏览器下载文件存储位置怎么修改
2火狐浏览器打不开该网页因为无法连接到服务器怎么解决
3mac如何设置屏幕常亮不黑屏 mac不黑屏设置方法
4win11系统怎么和手机连接 win11连接手机功能
5win113d加速如何开启 win11怎么开启高性能模式
6win10没有有效ip配置该怎么解决 Win10以太网没有有效的IP配置
7oppo手机允许安装未知应用在哪里设置 oppo允许安装未知来源
8win10电脑显示无法识别的usb设备怎么办 win10一直提示无法识别的usb设备
9steam加好友错误代码118解决方法
10怎么取消win10开机自检功能 win10关闭自检硬盘
随机推荐
专题工具排名 更多+
闽公网安备 35052402000378号