勒索病毒疑似变种：有的样本名称从“想哭”变成“想妹妹”(5)

2017-05-17 09:12:24    澎湃新闻  参与评论()人

随后解密资源文件，并将资源文件写入到notepad进程中，这样就借助傀儡进程启动了恶意代码。

伪造签名
在分析14号的样本中，我们发现病毒作者开始对病毒文件加数字签名证书，用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的，这也能够看出作者添加证书也许是临时起意，并没有事先准备好。