首次发布时间:2015

年12月3日10时21分本版本更新时间:2015年12月5日5时21分一例以"采访"为社工手段的定向木马攻击分析安天安全研究与应急处理中心借采访之名,行龌龊之事安天实验室版权所有,欢迎无损转载第2页目录1概述.
12"采访"事件13文件信息.
44样本分析.
65衍生文件分析95.
1INST.
INI解压文件的程序调用关系及功能描述:95.
2LINKS.
INI解压文件及基本功能描述:115.
3后门程序分析.
126总结.
14附录一:本次事件中恶意样本的MD514附录二:关于安天.
15借采访之名,行龌龊之事安天实验室版权所有,欢迎无损转载第1页1概述2015年12月2日夜间,安天监控预警体系感知到如下信息线索:某知名作家在新浪微博发布消息,曝光有人以发送"采访提纲"为借口,利用微博私信功能,发送恶意代码链接.

安天安全研究与应急处理中心(安天CERT)根据微博截图指向的链接,下载该样本并连夜展开分析.
随着分析的深入,我们梳理了整个事件的过程,及相关的恶意代码机理.
2"采访"事件引起我们关注的微博如图所示,该微博发布于12月1日23时24分.
作家收到自称"南周冯翔"的记者发来的"采访提纲",这位记者因"不知道联系方式",而将"采访提纲"存放网盘.
可是,网盘上的文件引起了反病毒软件的报警.
图1微博私信所发文件引起反病毒软件报警首先,我们根据微博截图中的短网址找到真实的文件链接,由图可知,文件链接指向百度网盘.