恶意程序通过计算Word文档数躲避检测

卡巴斯基实验室的安全研究人员发现了一种Word宏恶意程序能通过计算运行环境的Word文档数量去躲避检测。安全研究人员通常利用虚拟机测试可疑程序，虚拟机环境一般缺乏多个Word文档和其它类型的文件，这意味着如果恶意程序在系统中没有找到2个以上的World文档，那么它可以假设自己正在被研究。研究人员发现了该恶意程序如果在本地磁盘内没有发现2个以上的文档就会拒绝执行。如果发现两个以上的Word文档，它会执行PowerShell脚本，从silkflowersdecordesign.com这个网站下载按键记录程序。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/