【安全资讯】IcedID恶意软件通过 ISO 文件分发

IcedID是一种模块化银行恶意软件，正通过ISO文件分发。该软件具有两种分发方式，在第一种情况中，利用电子邮件劫持技术来劫持正常邮件，并将恶意文件作为压缩文件附加，其中包含一个ISO文件。执行ISO文件时，会在DVD驱动器中创建一个lnk和一个dll文件，并通过lnk文件加载恶意dll，即IcedID恶意软件。在第二种情况中，ISO文件中除了lnk文件和dll文件外，还有几个文件。lnk文件运行them文件夹内的worker.cmd，使用参数“l32”执行存在于同一文件夹中的worker.js 文件。worker.js 文件将作为参数传递的“l32”和“rundl”字符串组合在一起，最后通过rundll32.exe 加载存在于同一文件夹中的then.dat 文件（即IcedID恶意软件）。