最近有一起恶意软体攻击行动相当特别,因为对方利用几可乱真的求职者网站来引诱企业主管上当。
究竟ZIP档的内容为何?当中包含John Cboins.lnk及6.jpeg,一旦下载履历的人执行LNK档,会在电脑的Windows作业系统资料夹所在位置之外,产生ieuinit.inf档案,当中含有指令码元件(Script Component,SCT)档案存放位置的网址;再者,该INF档案也会复制IE初始化公用程式ie4uinit.exe,并利用WMIC加上–basesettings参数执行。
若下载这段SCT程式码档案并执行,电脑就会借由regsvr32.exe执行恶意的动态连结程式库档案38804.dll,进而载入More_eggs。