火绒安全软件

标题: 注意:激活工具传播HPAccess病毒 火绒推出专杀工具 [打印本页]
作者: huoronganquan    时间: 2021-2-20 20:58
标题: 注意:激活工具传播HPAccess病毒 火绒推出专杀工具
概述
近日,火绒威胁情报系统显示,HPAccess病毒非常活跃,感染量达数万台。经火绒工程师溯源分析发现,该病毒主要通过带毒激活工具(暴风激活,小马激活, KMS等)释放的Rootkit病毒下载传播,操纵用户计算机对其他网络地址进行DDoS(distributed denial-of-service)攻击等。对于上述激活工具下放的病毒以及关联的恶意网址,火绒均能拦截查杀。

Image-0.png

值得注意的是,该激活工具还会诱导用户关闭杀软,从而导致病毒成功释放、加载Rootkit病毒。Rootkit病毒会在内核层保护自身模块,对抗杀软的查杀。火绒用户可以使用火绒专杀工具(https://down5.huorong.cn/hrkill-1.0.0.54.exe)配合火绒安全软件全盘扫描彻底清除病毒威胁。

代码分析
sssApp.exe模块主要启动Nidisplay.exe进行DDoS攻击。该模块运行后,首先会向C&C服务器发送上线消息,之后C&C服务器可以通过远程通讯的方式控制Nidisplay.exe模块发起或结束DDoS攻击。相关主要代码,如下图所示:

Image-1.png
sssApp.exe主要代码逻辑
Nidisplay.exe模块为DDoS模块, 可以通过不同的方式(GET, POST, TCP)发送DDoS攻击,并且可以使用不同的UA头进行攻击。

Image-2.png
UA头列表

Image-3.png
TCP DDoS部分代码逻辑

作者: Dzrjks6606    时间: 2021-2-20 21:32
火绒棒棒
作者: Vstiv    时间: 2021-2-20 21:35
火绒有你最精彩
作者: 小宇宙    时间: 2021-2-20 21:37
               
作者: 星火神戎    时间: 2021-2-20 23:38
好家伙,没遇到下一个
作者: www.    时间: 2021-2-21 14:54
给一下哈希值
作者: MP_NT    时间: 2021-2-21 16:45
有没有相关的样本啊?
作者: huolongguo10    时间: 2021-2-23 14:46
这么短
作者: @huorong    时间: 2021-2-27 11:19
火绒真强大
作者: nowan    时间: 2021-3-5 17:39
文字能不能调大一下
作者: 王女艾琳    时间: 2021-3-6 22:24
我就用的是小马,有没有安全的激活器啊



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4