火绒安全软件

标题: 某软件恶意篡改浏览器相关设置并疑似有病毒行为 [打印本页]

作者: 该用户不存在    时间: 2023-1-23 16:59
标题: 某软件恶意篡改浏览器相关设置并疑似有病毒行为
本帖最后由 该用户不存在 于 2023-5-27 12:35 编辑

近日,在帮助用户解决主页劫持时https://bbs.huorong.cn/forum.php ... tid=118905#lastpost发现一款某类似steam辅助/破解软件安装恶意插件并篡改主页、添加收藏夹栏,并有疑似安装信息钩子,注入explorer进程,反沙箱等病毒行为。

经调查,此插件会在用户文件夹下的子文件下新建名为“AIWeb”的文件夹,其中的“selfdefplus”文件夹含有“tab.html”和“manifest.json”文件,都指向与被劫持的主页有关,均经火绒全盘查杀后无风险。在删除这两个文件后,发现名为“CSRChrm.exe”的文件会在刚才的恶意插件目录下新建这两个文件。通过查看数字签名,发现是名为“上海都梦网络科技有限公司”签名的文件。经过多次排查,居然是explorer与userinit启动的。最后,在用户的temp文件夹中,发现了名为AIwebSetup.exe的文件。但奇怪的是,以上的exe文件提取到其他电脑后均无法正常运行。最后,在其他的检查的过程后,发现了真正的罪魁祸首(已放至楼下)。请工程师分析文件,并按照楼下的补充进行必要的措施。
@火绒安全运营











63cffb1fe50b244c.jpg (111.74 KB, 下载次数: 1603)

用户现场

用户现场

3d98fcadcb89444e.jpg (98.44 KB, 下载次数: 1622)

3d98fcadcb89444e.jpg

-7e6310b088626181.jpg (120.46 KB, 下载次数: 1638)

-7e6310b088626181.jpg

-6c4eb7f24b6def08.jpg (133.82 KB, 下载次数: 1678)

恶意插件路径

恶意插件路径

-773fed5f8f320946.jpg (173.29 KB, 下载次数: 1670)

-773fed5f8f320946.jpg

105a28b63438b426.jpg (115.73 KB, 下载次数: 1675)

路径

路径

-36c4ce1558190ddd.jpg (203.82 KB, 下载次数: 1651)

-36c4ce1558190ddd.jpg

-3cce57262e023841.jpg (217.88 KB, 下载次数: 1656)

-3cce57262e023841.jpg

AIWebSetup.7z

1.12 KB, 阅读权限: 255, 下载次数: 3, 下载积分: 金钱 -1


作者: 火绒运营专员    时间: 2023-1-25 15:54
相关信息已转交,感谢您的反馈
作者: 火绒运营专员    时间: 2023-1-31 15:22
您好,相关病毒程序近期升级查杀,目前影响面有限,暂不考虑优化主防,感谢您的反馈。
作者: 该用户不存在    时间: 2023-2-1 12:42
火绒运营专员 发表于 2023-1-31 15:22
您好,相关病毒程序近期升级查杀,目前影响面有限,暂不考虑优化主防,感谢您的反馈。 ...

收到,那么后续请持续关注此软件
作者: 火绒运营专员    时间: 2023-2-1 12:45
该用户不存在 发表于 2023-2-1 12:42
收到,那么后续请持续关注此软件

好的,感谢您的反馈。
作者: hrhouyi    时间: 2023-2-18 12:36
我就是这个问题
作者: 火绒运营专员    时间: 2023-2-18 13:14
hrhouyi 发表于 2023-2-18 12:36
我就是这个问题

您好,请您使用火绒全盘查杀+专杀处理试试




欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4