把病毒文件存放在网盘上，新型恶意软件下载器GuLoader来袭

2年12月，网络安全公司Proofpoint的研究人员发现了一种新的恶意软件下载器，他们后来将其命名为“GuLoader”当时，GuLoader主要用于下载视差，一个远程访问木马(RAT)

是恶意软件下载器家族的新成员，但下载器很快被广泛使用，并被大量网络黑客用来传播远程访问特洛伊木马和信息窃取程序，包括Tesla/Origin Logger代理、FormBook、NanoCore RAT、Netwire RAT、Remcos RAT和Ave Maria/Warzone RAT等。

技术分析

根据Proofpoint的研究人员，GuLoader是一个PE文件(可移植的可执行文件)，它涉及到使用Visual Basic 6包

GulLoader主要嵌入在。iso或。rar文件，它的主要功能包含一些外壳代码(可以通过利用软件漏洞来执行的代码)

为了使其分析变得困难，GuLoader使用了一种相对复杂的注入技术，包括:

生成它自己的子进程副本(处于挂起状态)；将系统动态链接库(通常为" msvbvm60.dll "或" mstsc.exe ")的映像映射到位于0x400000的子进程。将解压缩的代码注入子进程；修改未决子进程上下文中的寄存器，以将执行重定向到注入的代码中；恢复子流程；子进程用解压缩的代码覆盖0x400000处的系统动态链接库映像由

下载的文件由64个十六进制数字组成，后跟一个异或编码的对等可执行文件，其中异或密钥存储在外壳代码中URI路径

的有效载荷和下载的文件名通常采用“< something >格式；_encrypted_XXXXXX.bin "，其中“XXXXXX”是十六进制数由

下载的有效负载包括以下内容:

64小写字母十六进制数字异或编码的对等二进制文件

值得注意的是，加密的有效负载通常存储在合法的网络磁盘中，包括谷歌硬盘和微软OneDrive换句话说，恶意软件是直接从各种合法的云存储平台下载的

在早期版本的GuLoader中，异或密钥固定为96字节然而，在后面的版本中，密钥变得明显更长，通常为512-768字节长，这使得它的分析更加困难。

结论

恶意软件下载器是一种计算机病毒。虽然它们不会直接对您的计算机造成损害，但它们可以下载病毒，从而对您的计算机造成各种损害。可以说，它们比其他病毒更值得注意。

使用谷歌驱动器和微软OneDrive传播计算机病毒。GuLoader再次向我们展示了合法的云服务是如何容易被滥用并成为网络黑客的“帮凶”。毫无疑问，大量云服务提供商应该采取行动

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/817.html。