其他
“验证器”(Validator)— 美国国家安全局NSA(APT—C—40)的木马尖兵
“验证器”木马具备对攻击目标开展系统环境信息收集的能力,同时也为更为复杂的木马程序的安装(植入)提供条件。
该款木马可以通过网络远程和物理接触两种方式进行安装,具有7X24小时在线运行能力,使NSA的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造ID,并在特定情况下紧急自毁。
3.1功能简述
3.2“验证器”木马程序功能指令
3.3回传信息
3.4详细功能分析
在“验证器”(Validator)木马加载到DllMain后,会首先创建线程,执行初始化动作,主要包含以下行为:
3.4.1线程函数1
使用异或运算动态加解密字符串,在使用时解密,使用完后加密回去,其使用的异或值有两种:0x3C和0x7F。
3.4.2线程函数2