火绒安全软件

标题: 某软件恶意篡改浏览器相关设置并疑似有病毒行为 [打印本页]

---

作者: 该用户不存在    时间: 2023-1-23 16:59
标题: 某软件恶意篡改浏览器相关设置并疑似有病毒行为


近日，在帮助用户解决主页劫持时https://bbs.huorong.cn/forum.php ... tid=118905#lastpost发现一款某类似steam辅助/破解软件安装恶意插件并篡改主页、添加收藏夹栏，并有疑似安装信息钩子，注入explorer进程，反沙箱等病毒行为。

经调查，此插件会在用户文件夹下的子文件下新建名为“AIWeb”的文件夹，其中的“selfdefplus”文件夹含有“tab.html”和“manifest.json”文件，都指向与被劫持的主页有关，均经火绒全盘查杀后无风险。在删除这两个文件后，发现名为“CSRChrm.exe”的文件会在刚才的恶意插件目录下新建这两个文件。通过查看数字签名，发现是名为“上海都梦网络科技有限公司”签名的文件。经过多次排查，居然是explorer与userinit启动的。最后，在用户的temp文件夹中，发现了名为AIwebSetup.exe的文件。但奇怪的是，以上的exe文件提取到其他电脑后均无法正常运行。最后，在其他的检查的过程后，发现了真正的罪魁祸首（已放至楼下）。请工程师分析文件，并按照楼下的补充进行必要的措施。
@火绒安全运营

63cffb1fe50b244c.jpg (111.74 KB, 下载次数: 1603)

下载附件

2023-1-23 16:38 上传

用户现场

3d98fcadcb89444e.jpg (98.44 KB, 下载次数: 1622)

下载附件

2023-1-23 16:38 上传

-7e6310b088626181.jpg (120.46 KB, 下载次数: 1638)

下载附件

2023-1-23 16:38 上传

-6c4eb7f24b6def08.jpg (133.82 KB, 下载次数: 1678)

下载附件

2023-1-23 16:44 上传

恶意插件路径

-773fed5f8f320946.jpg (173.29 KB, 下载次数: 1670)

下载附件

2023-1-23 16:44 上传

105a28b63438b426.jpg (115.73 KB, 下载次数: 1675)

下载附件

2023-1-23 16:48 上传

路径

-36c4ce1558190ddd.jpg (203.82 KB, 下载次数: 1651)

下载附件

2023-1-23 16:49 上传

-3cce57262e023841.jpg (217.88 KB, 下载次数: 1656)

下载附件

2023-1-23 16:49 上传

AIWebSetup.7z

2023-1-24 12:46 上传

点击文件名下载附件

下载积分: 金钱 -1

1.12 KB, 阅读权限: 255, 下载次数: 3, 下载积分: 金钱 -1

---

作者: 火绒运营专员    时间: 2023-1-25 15:54
相关信息已转交，感谢您的反馈

---

作者: 火绒运营专员    时间: 2023-1-31 15:22
您好，相关病毒程序近期升级查杀，目前影响面有限，暂不考虑优化主防，感谢您的反馈。

---

作者: 该用户不存在    时间: 2023-2-1 12:42

火绒运营专员 发表于 2023-1-31 15:22
您好，相关病毒程序近期升级查杀，目前影响面有限，暂不考虑优化主防，感谢您的反馈。 ...

收到，那么后续请持续关注此软件

---

作者: 火绒运营专员    时间: 2023-2-1 12:45

该用户不存在 发表于 2023-2-1 12:42
收到，那么后续请持续关注此软件

好的，感谢您的反馈。

---

作者: hrhouyi    时间: 2023-2-18 12:36
我就是这个问题

---

作者: 火绒运营专员    时间: 2023-2-18 13:14

hrhouyi 发表于 2023-2-18 12:36
我就是这个问题

您好，请您使用火绒全盘查杀+专杀处理试试

---

欢迎光临 火绒安全软件 (https://bbs.huorong.cn/)

Powered by Discuz! X3.4