occamy恶意软件c2分析
删除Trojan:Win32/Occamy.CA4的正确指南
Trojan:Win32/Occamy.CA4被大多数反病毒套件识别为危险的计算机威胁。顾名思义,这是一种有害的特洛伊木马病毒,旨在对它进行远程控制,以在受感染的设备内执行恶意操作。由于Windows Task Manager中列出了该恶意软件的进程,因此可以很容易地检测到该恶意软件的感染。一旦这种有害病毒渗透到目标PC,它就会开始执行恶意活动,并在工作站中引起一些令人讨厌的问题。这类木马可以将其他恶意软件渗透到系统中,将受感染的设备连接到多个僵尸网络,收集敏感信息,等等。
Trojan:Win32/Occamy.CA4深度分析:
Trojan:Win32/Occamy.CA4可以记录用户的重要数据,例如浏览活动,保存的登录名/密码,地理位置,键盘/鼠标活动等。诈骗者滥用收集到的信息,通过在线购买,欺骗性的汇款,身份盗窃等行为来牟取非法利润。上。这些类型的特洛伊木马病毒还可以劫持麦克风和网络摄像头,以捕获尴尬的时刻(例如,人自慰等)。然后,犯罪分子会利用有危害的视频或图片勒索受影响的人。正如我们已经提到的,特洛伊木马能够入侵其他寄生虫。在大多数情况下,它们会扩散勒索软件。这些类型的感染会加密用户存储在计算机中的重要文件,然后要求他们向攻击者支付一定数量的赎金以获取解密软件。
Trojan:Win32/Occamy.CA4会在系统文件下复制其自身,以便在Windows启动时自动运行。每次启动PC时,它都会更改要调用的注册表编辑器。除此之外,这种有害的威胁还会将恶意文件丢弃到受感染系统的多个文件夹中。它在后台保持安静运行,这会消耗大量内存资源,并严重降低整体PC性能。您的设备开始表现异常,并且比平时花费更长的时间来完成任何任务。它将恶意文件丢弃到受感染的计算机上,这往往会锁定用户的敏感文件并要求他们勒索赎金。因此,一些安全工具将其视为造成过多破坏的加密病毒。
这种感染会删除以下文件:
- C:\ ProgramData \ update.exe
- C:\ Users \ Username \ AppData \ LocalLow \ Microsoft \ Cryptnet Url Cache \ Content \ 5CEA8CFB8047B569B331D0E79D28457D
- C:\ Users \ Username \ AppData \ Local \ Microsoft \ Windows \ INet Cache \ IE \ MIPY49MB \ MicrosoftSecurity [1] .exe
这种威胁如何进入您的PC?
据报道,特洛伊木马型病毒主要通过垃圾邮件活动传播。网络骗子以MS Office文档,JavaScripts文件,JAR文件等形式发送大量包含恶意附件的垃圾邮件。这些文件一打开,它就会自动下载并安装特洛伊木马。有时,它们还会通过“捆绑”方法和伪造的更新程序进行传播。捆绑软件通常用于安装第三方程序/恶意软件以及常规的免费软件。此外,假冒的更新程序会利用过时的软件漏洞或只是下载并安装病毒而不是更新程序来感染设备。
避免安装木马的提示:
由于粗心的行为和知识不足,用户经常会感染此类感染。因此,在浏览网络以及下载/安装/更新软件时,您需要密切注意。打开之前,请仔细分析收到的电子邮件。如果它们看起来可疑或来自未知电子邮件地址,请忽略它们。此外,只能从官方来源或使用直接链接下载任何软件。始终选择“自定义/高级”设置来安装程序,而不要选择“默认”设置,并拒绝看似可疑的组件。但此刻,只需立即采取行动,从计算机上删除Trojan:Win32/Occamy.CA4。
代码分析:
确实看到一些键盘记录:
但是没有看到将键盘记录的结果发到c2服务器。。。