一款来自俄罗斯克里米亚的python木马

最新推荐文章于 2024-01-16 17:01:56 发布
最新推荐文章于 2024-01-16 17:01:56 发布
阅读量835 收藏
点赞数
分类专栏: Windows病毒分析 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/121356194
版权
本文分析了一款利用github存储恶意文件、通过宏文档激活,下载Python编译后的exe木马,该木马窃取信息并发送至谷歌邮箱。样本伪装成.doc文件,主要针对俄罗斯地区,目前仍在测试阶段。
摘要由CSDN通过智能技术生成

样本分析

2021年11月3日,捕获到一封名为“收货协议”的doc(Hash:63acfd6633bf3fe6462d8de72904338e2a97392654d8b39a97d18b9e7f3b25b8),该邮件虽然已被30家引擎报毒,关联URLs中却只有github链接,并无明显恶意域名。
在这里插入图片描述
文档打开后,俄文的译语即是“要查看文档内容,必须点击启用宏!!”。
在这里插入图片描述
文档中只有一句宏代码,其功能是从github平台ssbb36用户下载5.mp3文件。表面上来看,该落地文件并没有明显恶意行为。
在这里插入图片描述
下载了ssbb36的项目中文件,发现该用户为新注册用户,并且项目文件都是.mp3

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
专栏目录
订阅专栏
简单的病毒编程代码Python,利用python编写勒索病毒
纸尿裤排行
09-16 1万+
●介绍用QQ看电视的方法●用最简单的方法让QQ上的好友露出原形●QQ使用的七大非常规秘籍●看完这些,你就是电脑高手了●XP扮靓进行时 文件夹颜色随心换●电脑常用密码破解●保护隐私:Windows八大保密技巧●Windows操作系统快速关机之谜●恢复丢失数据的方法●连接宽带时出错表示的意思●电脑高手应用技巧荟萃●想让你的电脑键盘说话吗?2.打开我的电脑,依次打开“工具/文件夹选项/查看”,里面有一个“隐藏受保护的操作系统文件”,把前面的勾去掉,会出来一个警告窗口,选“是”。
使用Python绘制南丁格尔图(玫瑰图)
最新发布
summerriver1的博客
06-03 1279
使用Python绘制南丁格尔图(玫瑰图)
python写的翻译器
qq_29061315的博客
12-23 8615
一、灵感来源 1、最近在学习python爬虫,发现现在的百度翻译限制爬虫了,在网上找到了一些文档,说现在都限制反爬,让我一顿失望,爬虫的时候会报:{"errno":997,"errmsg":"\u672a\u77e5\u9519\u8bef","query":"he","from":"en","to":"zh","error":997}的错误;但是还是让我找到了解决方案,有位博主用5行代码写出了对应调用对应接口的程序,我是特别膜拜,就大树底下好乘凉,你懂得,借鉴借鉴。这边奉上对应博主文章链接,有兴趣的伙伴
Statistics with Python Specialization 1 - Introduction
Welcome to my homepage
01-16 1165
统计学至关重要,相信我们每一个人都有所耳闻!但是统计学具体运用在什么方面?我们又应该怎么学?本章将带你探索 Python 中的统计学基础概念和工具。通过深入的示例和逐步学习,你将掌握如何处理数据、进行可视化和进行统计分析,从而更好地理解数据并做出数据驱动的决策。立即启程,让 Python 成为你统计学学习之旅的得力伙伴!
dart调用python_随着Google Dart的使用量猛增 Python在GitHub上取代Java
weixin_39983383的博客
12-10 193
广受欢迎的编程语言Python已经超越了曾经占主导地位的Java,成为微软拥有的开源代码共享网站GitHub上第二受欢迎的语言。根据GitHub的2019年《八方宇宙状况》报告,基于存储库贡献者的数量,Python现在排名超过Java,并且按此衡量标准,Python现在仅次于JavaScript,后者自2014年以来一直排名第一。对于拥有30年历史的Python来说,这是一个里程碑,他的创建者Gu...
南丁格尔玫瑰图 python_央视都在用的“南丁格尔玫瑰图”,原来Python也可以画...
weixin_42120563的博客
01-15 1545
前一阵子,我看到央视新闻中,有一张比较好看数据图,如下:后来才知道这叫“南丁格尔玫瑰图”,是南丁格尔护士在克里米亚战争期间提交的一份关于士兵死伤报告时发明的一种图表。我心想能不能用Python也画一个,就去网上搜了一些资料,然后自己捣鼓了一下代码,并进行了梳理,下面是具体步骤。第一步:安装并导入相关包主要用到了pandas和pyecharts这两个包,需要注意的是pyecharts不同版本之间的的...
python——利用正则表达式爬取豆瓣读书中的图书信息
weekman93的专栏
11-25 1945
本来可以使用一条正则表达式完成图书信息的爬取,结果发现在CPU性能较差的电脑上进行爬取时耗时非常长,几乎无法将结果获取到。所以,将大的html源码先经过一次简单的匹配以获取到一个中间结果,然后再从中间结果中依次进行匹配。结果发现按照这个步骤,即使使用循环也能非常快速的获取到图书信息。(最后的代码为使用进程池,结果发现效果不佳) 步骤简介如下: 使用requests库获取...
python画玫瑰图_央视都在用的“南丁格尔玫瑰图”,原来Python也可以画
weixin_39640008的博客
11-23 878
前一阵子,我看到央视新闻中,有一张比较好看数据图,如下:后来才知道这叫“南丁格尔玫瑰图”,是南丁格尔护士在克里米亚战争期间提交的一份关于士兵死伤报告时发明的一种图表。我心想能不能用Python也画一个,就去网上搜了一些资料,然后自己捣鼓了一下代码,并进行了梳理,下面是具体步骤。第一步:安装并导入相关包主要用到了pandas和pyecharts这两个包,需要注意的是pyecharts不同版本之间的的...
震惊!GitHub 限制克里米亚的开发者
程序员的那些事
07-28 441
(给程序员的那些事加星标)转自:技术最前线克里米亚开发者的 GitHub 账号被限制7 月 26 日,Hacker News 首页有个热帖,一位的开发者 tkashkin...
maps:俄罗斯克里米亚的地图,用于jvectormap
05-23
本资源主要涉及的是一个适用于jvectormap插件的俄罗斯克里米亚地区地图数据,这对于在网页或应用程序中展示地理位置信息、进行数据分析或实现交互式地图功能非常有用。jvectormap是一个用JavaScript编写的开源库,...
migration:来自卢甘斯克、顿涅茨克地区、克里米亚自治共和国和塞瓦斯托波尔的移民登记册
07-23
自述 此自述文件通常会记录启动和运行应用程序所需的任何步骤。 您可能想要涵盖的内容: Ruby版 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列、缓存服务器、搜索引擎等) ...
克里米亚巴士
02-18
"克里米亚巴士"项目似乎是一个与HTML相关的网页开发案例,可能是一个模拟或展示克里米亚地区公共交通服务的平台。HTML(HyperText Markup Language)是构建网页的基础语言,用于描述网页的内容和结构。通过分析`...
高中历史第七单元1861年俄国农奴制改革一19世纪中叶的俄国克里米亚战争的影响素材新人教版选修1.doc
12-02
克里米亚战争,是1853年至1856年间,俄国与英、法、奥斯曼帝国以及撒丁王国之间的一场重大军事冲突,其背景是俄国试图扩大其在黑海和巴尔干地区的影响力。这场战争以俄国的失败告终,对俄国的历史进程产生了深远的...
APTHunter——Windows安全日志排查好帮手
摔不死的笨鸟的博客
12-16 4746
服务器虽然Linux系统使用的比较多,但Linux服务器相比于Windows服务器可以检查的点比较少,Windows服务器相对来说排查难度比较高。 服务器一般很少会主动从网络上下载资源,安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具,功能比较单一。 服务器承载着非常重要的核心业务,多数安全工具不能随便使用,尤其是不太出名的小工具(如:executedprogramslist),以及会安装驱动的安全工具(如火绒剑、PChunter、其他厂商的EDR产品等),因为一旦发生不兼容问
恶意软件免杀与技术(2022.04.25)
摔不死的笨鸟的博客
04-25 3744
BlackGuard加密货币钱包窃取 规避以下dll的加载 SbieDll.dll 沙盒沙盒 SxIn.dll 360全方位安全 Sf2.dll Avast 杀毒软件 snxhk.dll Avast 杀毒软件 cmdvrt32.dll COMODO 网络安全 使用Obfuscar进行.NET程序混淆 BlackGuard 还将查询“IP-Whois”以确定受害者的大致位置。在 BlackGuard 的一些样本中,此功能用于防止恶意软件在特定的东欧国家执行。 通过Chrome插件ID找到加密钱包的插件路径,然
PowerShell脚本类病毒分析
摔不死的笨鸟的博客
11-12 3145
PowerShell介绍 Powershell 早期一种VBScript的代替脚本语言,同时也是一种shell命令行执行窗口。微软最初出行PowerShell的原因是为管理员提供的自动化管理工具。在2016年中期,微软迈出了之前想都不会想的一步,完整开源了Windows PowerShell。 为什么要重视Powershell? 1.GUI无法带来效率上的提升。 2.其他脚本语言总是有种种缺憾。 3.越来越多的产品和Windows系统中组件已经采用PowerShell 现今的反病毒产品,对于检测磁盘上的恶意
绕过BIOS/UEFI固件写保护写入SPI闪存
摔不死的笨鸟的博客
12-14 2052
针对Bootkit:LoJax或MosaicRegressor和TrickBot等开始进行固件感染方式的病毒逐渐增多而作笔记整理。 对主板上的SPI闪存芯片中存储的UEFI固件的所有请求都将通过SPI控制器,该控制器是Intel平台上的Platform Controller Hub(PCH)的一部分。可以通过PCI设备驱动访问PCI总线配置空间可以获取PCH的值。 绕过BIOS/UEFI固件写保护写入SPI闪存用I/O命令访问PCI总线配置空间BIOS控制寄存器BIOS_CNTL攻击者如何感染UEFI固件?
无文件攻击的种类
摔不死的笨鸟的博客
12-01 2037
在安全领域,无文件攻击意味着极其严重的威胁。“无文件”一词,是在探讨绕过恶意文件检测技术的方法时诞生的术语。“无文件攻击”只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避传统安全软件的检测。 本知识领域牵涉到病毒逆向分析和渗透测试两大版块。 无文件攻击的种类 病毒名称 漏洞类型 CVE编号 漏洞位置 Office漏洞 CVE-2017-0199 内嵌OLE2LINK对象 Office漏洞 CVE-2017-11882(噩梦公式一代) 公式编辑器EQNEDT32.EXE
乌克兰与俄罗斯的局势分析
04-14
这包括了俄罗斯吞并克里米亚半岛,并在东乌克兰的内乱中支持东乌克兰的分裂势力。 此外,乌克兰持续遭受俄罗斯的军事和政治威胁,乌克兰政府一直在努力应对俄罗斯的军事和政治干预。同时,西方国家也一直在支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值