网络安全：公民实验室发现针对香港活动人士的间谍行动

【博闻社】加拿大公民实验室发表了一份研究报告，分析了针对香港亲民活动人士间谍行动中使用的新恶意程序。

据报告，在台湾总统大选前一周，香港的亲民活动人士收到了一封针对性的钓鱼邮件，内含指向Google Drive的2016總統選舉民情中心預測值.rar文件链接。

该rar文件的结构，包含了两个可执行文件 fzyy.exe和wzget.exe。fzyy.exe会向系统写入6个文件，其中maindll.dll在写入前会验证注册表，检查系统有没有安装360、金山、瑞星、微点、江民和Avira杀毒软件，但即便有这些杀毒软件存在，文件仍然会写入。

研究人员将其释放出的恶意程序命名为UP007（dll2.xor），C2服务器的IP地址是59.188.12[.]123，指向了域名 yeaton.xicp[.]net，该域名在2012年曾被用于宣传一个中国VPN服务，鉴于时间相隔比较长，两者之间可能没有关系。

wzget.exe则属于SLServer恶意程序家族，研究人员在分析中发现了病毒的一个调试路径“e:\Working\SVNProject\SLServer\SLServer2.0\release\SLServer.pdb”。