|
近期我们发现腾讯电脑管家论坛的木马申诉举报板块出现大量“远控木马监控”类样本,且能躲过多款实时监控软件。火绒实时监控很早就可以对该病毒释放的动态库进行查杀,近期(v2.0.0.12版本,V2.0.0.13版本还会增强)又针对此类样本升级了行为分析启发逻辑,能够有效的对该类病毒进行查杀,且对该类型最新的变种(远控木马10.29.11)检测仍持续有效。
病毒来源:腾讯电脑管家论坛木马申诉举报板块 http://bbs.guanjia.qq.com/home.php?mod=space&uid=1095334&do=thread&view=me&from=space 地址链接是账号为”Vc For Mfc”的用户提供的不同版本的远控木马样本
此类木马双击快捷图标,激活木马程序,使用户误认为打开了一张图片,实为经过巧手改装的病毒文件(恶意动态库)。
双击Zxz(2)快捷方式,弹出图片界面,用火绒剑查看系统进程,rundll32.dll已经运行了,并且加载了同目录下的FuckMxkj.dll,也就是此类木马中的真正恶意文件。
到这一步,这个远控木马便会连接远控主机,记录键盘操作等,导致用户隐私外泄,个人信息安全受到威胁。
针对该用户提供的所有远控木马,火绒主动防御软件制定了查杀规则,全部检测成功,且对该类型最新的变种(远控木马10.29.11)检测仍持续有效。下图为该类型样本的全部扫描结果和拦截提示!
且在关闭实时监控后,“未知病毒拦截“依然可以根据病毒行为进行查杀
| 
收藏
