火绒安全软件

标题: 注意!一组点击器病毒正在快速传播 火绒已全面拦截 [打印本页]
作者: huoronganquan    时间: 2021-9-18 19:55
标题: 注意!一组点击器病毒正在快速传播 火绒已全面拦截

近日,火绒工程师发现一组点击器病毒,正在全网大面积传播,目前单日感染终端数量超过数万台,该病毒可随时占用用户网络资源以及CPU资源,执行流量暗刷等恶意行为。火绒紧急提醒广大用户做好防范准备。

根据火绒工程师分析,该病毒运行后,会下载执行无界面浏览器组件和点击器木马,然后在后台暗刷流量,攫取利益。此外,不排除病毒后续还会向用户电脑中下发其它恶意模块的可能。
Image-0.png

火绒用户无需担心,火绒产品(个人版、企业版)已对该病毒及其相关服务器地址进行拦截查杀。非火绒用户可通过下载火绒软件,并开启【文件实时监控】、【恶意网址拦截】等功能,及时阻止病毒入侵。

以下为病毒分析内容:
一、样本分析
以下图中病毒进程树为例,dT3S.exe为病毒下载器进程,该程序执行后会从服务器获取无界面浏览器释放器(qt512.exe)和点击器木马(svsebc.exe)到用户本地执行。

Image-1.png
病毒进程树情况

dT3S.exe模块主要功能为下载执行。截至到预警报告发布前,该病毒只下载暗刷流量的相关病毒模块,但并不排除后续会下发其它病毒模块的可能性。病毒模块名称及对应的服务器地址,如下图所示:

Image-2.png
病毒模块名称及对应的服务器地址

下载执行相关逻辑代码,如下图所示:

Image-3.png
下载执行相关代码

模拟用户操作相关代码,如下图所示:

Image-4.png
模拟用户操作相关代码

控制页面跳转相关代码,如下图所示:

Image-5.png
控制页面跳转相关代码

二、附录
样本hash
Image-6.png


作者: huolongguo10    时间: 2021-9-18 20:02
好短啊     
作者: 小多科技    时间: 2021-9-18 20:20
你变短了.......
板凳~~~~~~
作者: j2fu    时间: 2021-9-19 16:45
小多科技 发表于 2021-9-18 20:20
你变短了.......
板凳~~~~~~

咳咳,你
作者: 小多科技    时间: 2021-9-19 17:17
j2fu 发表于 2021-9-19 16:45
咳咳,你

我怎么了
作者: j2fu    时间: 2021-9-19 19:53
小多科技 发表于 2021-9-19 17:17
我怎么了

没事,就是...
作者: 化悲痛为力量    时间: 2021-9-21 19:57
本月火绒版本没有更新
作者: anxun    时间: 2021-9-22 08:19
默默的支持背后的你
作者: zuiqiangwangzhe    时间: 2021-9-29 10:30
作者: kidsp    时间: 2021-10-2 11:34
想问一下那个执行代码是用什么分析出来的
作者: meili    时间: 2021-10-6 19:44
我的电脑玩传奇游戏 传奇发布页被劫持了 有没有好办法清理
我不想再做系统了 我们的杀毒软件都用了 清理不了 谢谢
作者: 123456    时间: 2021-10-7 10:10
杠杠的
作者: upupp    时间: 2021-10-9 18:37
作者: Timothy9    时间: 2021-10-25 17:20
作者: 石油老民    时间: 2021-10-29 16:13
新手学习,谢谢管理员分享精品。
作者: 蒙山牧童    时间: 2021-11-2 12:25
我用360到65级,实在受不了弹窗和无处不在的广告侵扰,果断卸载清理程序,换了火绒!
作者: 蒙山牧童    时间: 2021-11-2 12:28
2345弹窗好多杀软都控制不了,只有火绒给阻断了!感谢!
作者: 845428590    时间: 2021-11-3 09:27
不小心下载了一个什么东西~这个广告铺天盖地啊~腾讯管家不管用~加入火绒试试



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4