《报告参考》
（1）新的Loki变体通过PDF文件传播
https://www.fortinet.com/blog/threat-research/new-loki-variant-being-spread-via-pdf-file.html
（2）新的Fareit变种分析
https://www.fortinet.com/blog/threat-research/new-fareit-variant-analysis.html

公司主营业务：成都网站建设、网站制作、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联推出启东免费做网站回馈大家。

Fareit家族

网络C&C特征：／gate.php

loki窃密恶意软件

外部形态：

病毒第一次释放路径：C:\Users\XX\AppData\Roaming

病毒进程：anydesk.exe

释放病毒名：33CAF5.exe
具有隐藏文件属性

释放的copy目录：
C:\Users\xx\AppData\Roaming\Microsoft\Skype.exe

取到的各文件基本信息：

Desktop\33CAF5.exe
大小: 430080 bytes
文件版本:5.06.0006
修改时间: 2018年4月25日, 8:45:05
MD5: 6C1E5DA8CF6A810F6B0F581FB9808EA7
SHA1: 1F32DFD05102052EB632D9809DA42CFDE6C2369B
CRC32: 676C4584

Desktop\33CAF5\33CAF5.exe
大小: 1132544 bytes
修改时间: 2018年5月18日, 14:32:51
MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04
SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DA
CRC32: 7D518DEE

Desktop\anydesk\anydesk.exe
大小: 1132544 bytes
修改时间: 2018年5月18日, 14:32:51
MD5: 39D444AC90BD7C1D16A18AE2F5DBAD04
SHA1: E98E064B0DB36C11A99A153AD74F6BF51BF478DA
CRC32: 7D518DEE

注册表键值存有网络信息：
HKEY_LOCAL_MACHINE\http://bs-shipmanaqement.com/albert/anel/five/fre[.]php

通过注册表获取账户密码信息

相同点

1 窃密软件
2 通过注册表获取软件安装
3 读取密码文件在内存中搜索用户名密码
4 连接网络发送数据

另外有需要云服务器可以了解下创新互联scvps.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

当前标题：两个窃密家族动态信息-创新互联
文章URL：http://myzitong.com/article/digdho.html