在这之前,已经有过一次POS恶意软件的恶意活动。
2014年,Jeremy Humble和我发现了2个未曾曝光过的POS恶意软件家族,接着在2015年我们又发现了一个POS恶意软件的新家族。这次发现的恶意软件我们命名为“LogPOS”,它跟前段时间发现的POS恶意软件有几个显著的差异。
在本文接下来的部分中,我们将对LogPOS进行详细分析,该样本哈希值为:
af13e7583ed1b27c4ae219e344a37e2b。
Windows系统中提供了几种进程间通信的方式,邮件槽(Mailslots)就是其中的一种。
邮件槽提供进程间单向通信能力,任何进程都能建立邮件槽成为邮件槽服务器。其它进程,称为邮件槽客户,可以通过邮件槽的名字给邮件槽服务器进程发送消息。进来的消息一直放在邮件槽中,直到服务器进程读取它为止。一个进程既可以是邮件槽服务器也可以是邮件槽客户,因此可建立多个邮件槽实现进程间的双向通信。
通过邮件槽可以给本地计算机上的邮件槽、其它计算机上的邮件槽或指定网络区域中所有计算机上有同样名字的邮件槽发送消息。广播通信的消息长度不能超过400字节,非广播消息的长度则受邮件槽服务器指定的最大消息长度的限制。
邮件槽与命名管道相似,不过它传输数据是通过不可靠的数据报(如TCP/IP协议中的UDP包)完成的,一旦网络发生错误则无法保证消息正确地接收。不过邮件槽有简化的编程接口和给指定网络区域内的所有计算机广播消息的能力,所以邮件槽不失为应用程序发送和接收消息的一种好的选择。
小编推荐阅读