近期,火绒工程师在日常关注安全动态时发现FormBook木马家族存在利用多种加载器混淆处理进行免杀的行为,因此火绒工程师对其木马家族多种样本进行横向分析,分析发现该木马家族多个样本的主要功能几乎没有变化,只有加载器不断变化,且加载器核心机制仍然由读取、解密和注入三个步骤组成。其中注入的FormBook代码通过自修改代码(SMC)和多次注入以及通过天堂之门实现免杀。火绒安全产品可对上述窃密木马进行拦截查杀。火绒6.0查杀图FormBook是一种商业窃密木马,主要用于窃取浏览器的Cookies等敏感信息。同时...【查看原文】