QBot 木馬升級為勒索工具,暴改 Win10 內建Write執行檔、劫持 DLL 感染裝置

QBot 木馬升級為勒索工具,暴改 Win10 內建Write執行檔、劫持 DLL 感染裝置

外媒 BleepingComputer 報導,安全專家和 Cryptolaemus 成員 ProxyLife 發現了新的 QBot 網路釣魚活動,濫用 Win10 系統中的執行檔 write.exe,通過 DLL 劫持漏洞傳播。

QBot,也稱為 Qakbot,是一種 Windows 惡意軟體。QBot 最初作為銀行木馬出現,隨後演變成為惡意軟體投放器。

安全專家目前已經確認 Black Basta,Egregor 和 Prolock 等勒索軟體駭客使用該惡意軟體,對多家企業網路發起勒索攻擊。

受害者點選連結之後,會從遠端主機下載一個隨機命名的 ZIP 壓縮檔案。該文件中包含 document.exe 和名為 edputil.dll 的 DLL 檔案(用於 DLL 劫持)。

QBot 木馬升級為勒索工具,暴改 Win10 內建Write執行檔、劫持 DLL 感染裝置

查看 document.exe  屬性,可以看到是WordPad檔案 Write.exe 的重新命名版本。

QBot 木馬升級為勒索工具,暴改 Win10 內建Write執行檔、劫持 DLL 感染裝置

當 document.exe 啟動時,它會自動嘗試載入一個名為 edputil.dll 的合法 DLL 檔案,該檔案通常位於 C:\Windows\System32 資料夾中。

當可執行檔案嘗試載入 edputil.dll 時,優先會載入同一檔案路徑下的問題 edputil.dll 檔案。

Write.exe早期叫做小作家(Windows Write)是簡單的文書處理器,內建於微軟的Windows 1.0、Windows 2.0和Windows 3.x系列作業系統。其由始至終的變動很少,而且功能上和MacWrite十分相像。早期的小作家版本只支援Write (.wri)檔案,但到了1989年,更新到支援Microsoft Word的格式,並內建在翌年的Windows 3.0。

從此,小作家開始支援對早期的Word (.doc)檔案,進行開啟和建立有關的檔案。有了Windows 3.1,小作家開始支援物件連結與嵌入。

從Windows 95開始,以WordPad取代小作家。小作家與WordPad相同的是功能比記事本強大。一般認為,小作家是較現代的文字編輯器。但是,小作家的功能遠比Microsoft Word少。而小作家有一些功能是WordPad(至少到Windows 7版本)沒有的,最明顯的是文字對齊功能。

目前,你在Windows根目錄之下還是找得到Write.exe這個檔案,但是執行之後直接開啟的就是WordPad。

 

cnBeta
作者

cnBeta.COM(被網友簡稱為CB、cβ),官方自我定位「中文業界資訊站」,是一個提供IT相關新聞資訊、技術文章和評論的中文網站。其主要特色為遊客的匿名評論及線上互動,形成獨特的社群文化。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則