快捷搜索:  网络  扫描  后门  CVE  渗透  木马  黑客  as

火绒安全警报:病毒伪装成激活工具强制装置360、2345阅读器 - FreeBuf互联网安全新媒体平台

媒介

8月30日,火绒安全团队截获病毒”FakeKMS”。该病毒伪装成”小马激活”、”KMS”等知名激活工具,通过激活工具下载站点进行传播。

该病毒不具备任何激活功能,一旦病毒入侵用户电脑,会立即挟制阅读器首页,同时还会静默装置360安全阅读器以及2345阅读器,进而图利。另外,该病毒还会通过内核级匹敌手段藏避安全软件查杀。

“火绒产品(小我私人版、企业版)”最新版即可查杀该病毒,黑客工具,建议近期走访过该网站下载软件的用户,绝快使用”火绒产品”对电脑进行扫描查杀。

样本阐发

该病毒会将自身伪装成体系激活工具,并通过本人搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同,该病毒除了会执行病毒举动外,不具有任何激活功能。

病毒下载站点,以下图所示:

病毒下载站点

如上图所示,该页面中的激活工具下载链接众多。然则通过测试,我们发现在用户点击下载后终极跳转到的下载地址均为:hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用户通过任一下载链接下载到的均为同一病毒样本。该病毒样本为AutoIt装置包,通过病毒脚本逻辑运行病毒文件及静默软件装置包。

病毒脚本,以下图所示:

病毒脚本

被该病毒推行的软件包括:360安全阅读器以及2345阅读器。

被推行的软件装置包文件信息,以下图所示:

被推行的软件装置包文件信息

被推行的软件装置包文件信息

病毒在推行软件的同时还会开释Rootkit病毒挟制阅读器首页,驱动文件名为随机名且没有扩台甫,驱动文件还会通过内核级匹敌手段藏避安全软件查杀。

Rootkit病毒文件,以下图所示:

Rootkit病毒文件

该病毒被加载后会强行挟制用户首页为2345网址导航(hxxp://www.iw121.com),被挟制后的首页情形,以下图所示:

被挟制后的首页情形

综上,火绒建议泛博用户使用正版操作体系,在装置体系后优先装置安全软件,从而避免感染此类病毒。

附录

文中触及样本SHA256:

样本SHA256

*:火绒安全,

您可能还会对下面的文章感兴趣: