火绒安全软件
标题: 注意!一组点击器病毒正在快速传播 火绒已全面拦截 [打印本页]
作者: huoronganquan 时间: 2021-9-18 19:55
标题: 注意!一组点击器病毒正在快速传播 火绒已全面拦截
近日,火绒工程师发现一组点击器病毒,正在全网大面积传播,目前单日感染终端数量超过数万台,该病毒可随时占用用户网络资源以及CPU资源,执行流量暗刷等恶意行为。火绒紧急提醒广大用户做好防范准备。
根据火绒工程师分析,该病毒运行后,会下载执行无界面浏览器组件和点击器木马,然后在后台暗刷流量,攫取利益。此外,不排除病毒后续还会向用户电脑中下发其它恶意模块的可能。
火绒用户无需担心,火绒产品(个人版、企业版)已对该病毒及其相关服务器地址进行拦截查杀。非火绒用户可通过下载火绒软件,并开启【文件实时监控】、【恶意网址拦截】等功能,及时阻止病毒入侵。
以下为病毒分析内容:
一、样本分析
以下图中病毒进程树为例,dT3S.exe为病毒下载器进程,该程序执行后会从服务器获取无界面浏览器释放器(qt512.exe)和点击器木马(svsebc.exe)到用户本地执行。
病毒进程树情况
dT3S.exe模块主要功能为下载执行。截至到预警报告发布前,该病毒只下载暗刷流量的相关病毒模块,但并不排除后续会下发其它病毒模块的可能性。病毒模块名称及对应的服务器地址,如下图所示:
病毒模块名称及对应的服务器地址
下载执行相关逻辑代码,如下图所示:
下载执行相关代码
模拟用户操作相关代码,如下图所示:
模拟用户操作相关代码
控制页面跳转相关代码,如下图所示:
控制页面跳转相关代码
二、附录
样本hash
作者: huolongguo10 时间: 2021-9-18 20:02
好短啊
作者: 小多科技 时间: 2021-9-18 20:20
你变短了.......
板凳~~~~~~
作者: j2fu 时间: 2021-9-19 16:45
咳咳,你
作者: 小多科技 时间: 2021-9-19 17:17
我怎么了
作者: j2fu 时间: 2021-9-19 19:53
没事,就是...
作者: 化悲痛为力量 时间: 2021-9-21 19:57
本月火绒版本没有更新
作者: anxun 时间: 2021-9-22 08:19
默默的支持背后的你
作者: zuiqiangwangzhe 时间: 2021-9-29 10:30
作者: kidsp 时间: 2021-10-2 11:34
想问一下那个执行代码是用什么分析出来的
作者: meili 时间: 2021-10-6 19:44
我的电脑玩传奇游戏 传奇发布页被劫持了 有没有好办法清理
我不想再做系统了 我们的杀毒软件都用了 清理不了 谢谢
作者: 123456 时间: 2021-10-7 10:10
杠杠的
作者: upupp 时间: 2021-10-9 18:37
赞
作者: Timothy9 时间: 2021-10-25 17:20
赞
作者: 石油老民 时间: 2021-10-29 16:13
新手学习,谢谢管理员分享精品。
作者: 蒙山牧童 时间: 2021-11-2 12:25
我用360到65级,实在受不了弹窗和无处不在的广告侵扰,果断卸载清理程序,换了火绒!
作者: 蒙山牧童 时间: 2021-11-2 12:28
2345弹窗好多杀软都控制不了,只有火绒给阻断了!感谢!
作者: 845428590 时间: 2021-11-3 09:27
不小心下载了一个什么东西~这个广告铺天盖地啊~腾讯管家不管用~加入火绒试试
欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |