您的位置: 网界网 > 网络学院-安全 > 正文

0day星期三――新型恶意软件遭遇战

2014年05月30日 14:16:34 | 作者:佚名 | 来源:51CTO | 查看本文手机版

摘要:可能有人会说这标题很疯狂,但我把它称之为“星期三”。这款较为新颖的恶意软件是一个老的2012 CVE的java攻击包(可能针对SecurityManager)的负载。压缩与解压缩的在VirusTotal/Malwr上都没有查到,所以这又是一个0day�

标签
0day
恶意软件

可能有人会说这标题很疯狂,但我把它称之为“星期三”。

这款较为新颖的恶意软件是一个老的2012 CVE的java攻击包(可能针对SecurityManager)的负载。压缩与解压缩的在VirusTotal/Malwr上都没有查到,所以这又是一个0day

利用IDA进行初步检测,报出一个错误:

0day星期三——新型恶意软件遭遇战

估计制作这家伙的兄弟也知道, 迟早某一天它会被像我这样的人拿来瞅瞅的。确实有许多的修改可以用来搅乱反汇编结果,而丝毫不影响Windows上的运行。

用CFF Explorer来看看,发现NT头部的一个错误在“Data Directories”的“Delay Import Directory RVA”项中。CFF很好的为我们指出0×00000040值是错的。将其清零就可以解决此问题。