为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

火绒安全警报:病毒伪装成激活工具强制安装360、2345浏览器

2018-9-6 11:15| 投稿: lofor |来自: 互联网

摘要: 火绒安全2018-09-06共13150人围观 ,发现2个不明物体安全报告前言8月30日,火绒安全团队截获病毒”FakeKMS”。该病毒伪装成”小马激活”、”KMS”等知名激活工具,通过激活工具下载站点进行传播。该病毒不具备任何激 ...
前言

8月30日,火绒安全团队截获病毒”FakeKMS”。该病毒伪装成”小马激活”、”KMS”等知名激活工具,通过激活工具下载站点进行传播。

该病毒不具备任何激活功能,一旦病毒入侵用户电脑,会立即劫持浏览器首页,同时还会静默安装360安全浏览器和2345浏览器,进而牟利。另外,该病毒还会通过内核级对抗手段躲避安全软件查杀。

“火绒产品(个人版、企业版)”最新版即可查杀该病毒,建议近期访问过该网站下载软件的用户,尽快使用”火绒产品”对电脑进行扫描查杀。

样本分析

该病毒会将自身伪装成系统激活工具,并通过自己搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同,该病毒除了会执行病毒行为外,不具有任何激活功能。

病毒下载站点,如下图所示:

如上图所示,该页面中的激活工具下载链接众多。但是通过测试,我们发现在用户点击下载后最终跳转到的下载地址均为:hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用户通过任一下载链接下载到的均为同一病毒样本。该病毒样本为AutoIt安装包,通过病毒脚本逻辑运行病毒文件及静默软件安装包。

病毒脚本,如下图所示:

被该病毒推广的软件包括:360安全浏览器和2345浏览器。

被推广的软件安装包文件信息,如下图所示:

病毒在推广软件的同时还会释放Rootkit病毒劫持浏览器首页,驱动文件名为随机名且没有扩展名,驱动文件还会通过内核级对抗手段躲避安全软件查杀。

Rootkit病毒文件,如下图所示:

该病毒被加载后会强行劫持用户首页为2345网址导航(hxxp://www.iw121.com),被劫持后的首页情况,如下图所示:

综上,火绒建议广大用户使用正版操作系统,在安装系统后优先安装安全软件,从而避免感染此类病毒。

附录

文中涉及样本SHA256:

*本文作者:火绒安全,转载请注明来自FreeBuf.COM


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部