亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Dr. Web的文章中提到了一個廣告分發(fā)軟件的安裝程序，具體的來說應(yīng)該是偽裝成一個有用的應(yīng)用程序或者是mp3文件，然而其文章中并沒有直接提到搭載惡意安裝程序的網(wǎng)站！筆者在其文章中截圖內(nèi)找到了一個URL： listentoyoutube.com，接著與該站點進行交互，該網(wǎng)站提供youtube視頻音樂等下載服務(wù)

擅于觀察的讀者可能會發(fā)現(xiàn)這個復(fù)選框中的內(nèi)容（默認勾選），“下載加速器并獲取幫助”選項。單擊下載按鈕就會下載一個.dmg后綴的圖像，其命名與mp3文件明相同。執(zhí)行該文件后用戶會被感染，安裝多個頑固性廣告軟件。

文章中提到該圖片文件中包含一個“引人注目的結(jié)構(gòu)；其包含有兩個隱藏文件夾，如果用戶下定決心要看DMG文件中的內(nèi)容需要使用Finder工具”。 其中提到引人注目的IMHO結(jié)構(gòu)并不起眼，這兩個文件夾無非就是前綴加上了一個“.”而已，僅僅只是為了不被輕易發(fā)現(xiàn)，而使用Finder工具默認是會顯 示出來的。同樣也可以使用終端進行查看：

當加載好.dmg文件之后（雙擊即可），如下所示：

雙擊打開<song>_mp3.app，就會執(zhí)行macLauncher(MD5: 5f1e998e0213364ae44472495a71f123)，該二進制只是簡單的執(zhí)行一個名為Downloader的應(yīng)用程序，該程序位于隱藏 的.app文件夾下。有趣的是，這是通過編程調(diào)用AppleScript腳本：

正如其名，“Downloader”是一個用來下載（安裝）其他軟件的應(yīng)用程序。在二進制字符串中暴露了其名稱“macInstaller”，版本“1.7.12-d”以及MD5值“a6a23e7815d08a596da37e38b466e7a2”。

執(zhí)行期間，該軟件使用頑固廣告軟件感染系統(tǒng)，在本文中暫不分析這些頑固廣告軟件。經(jīng)過一陣的分析，其包含有一個Genieo變種。

該廣告軟件會引起各種意外或者惡意行為。比如，以不同的方式通過惡意瀏覽器擴展進行瀏覽器劫持。了解更多這些惡意擴展可以訪問KnockKnock

Genieo正努力的嘗試作為一個LaunchAgent保持其頑固性，還好BlockBlock能夠進行攔截

在VirusTotal中暫時還沒有該Genieo變種的版本號[VirusTotal詳細信息]，Dr. Web以及其他殺毒引擎并未發(fā)現(xiàn)該惡意軟件的存在。

樣本下載

鏈接：http://pan.baidu.com/s/1eQyEjzc 密碼：oswx

視頻：https://player.vimeo.com/video/125345793