火绒安全警报:病毒伪装成激活工具 强制安装360、2345浏览器
8月30日,火绒安全团队截获病毒"FakeKMS"。该病毒伪装成"小马激活"、"KMS"等知名激活工具,通过激活工具下载站点进行传播。该病毒不具备任何激活功能,一旦病毒入侵用户电脑,会立即劫持浏览器首页,同时还会静默安装360安全浏览器和2345浏览器,进而牟利。另外,该病毒还会通过内核级对抗手段躲避安全软件查杀。
一、概述
"火绒产品(个人版、企业版)"最新版即可查杀该病毒,建议近期访问过该网站下载软件的用户,尽快使用"火绒产品"对电脑进行扫描查杀。
二、样本分析
该病毒会将自身伪装成系统激活工具,并通过自己搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同,该病毒除了会执行病毒行为外,不具有任何激活功能。病毒下载站点,如下图所示:
病毒下载站点
如上图所示,该页面中的激活工具下载链接众多。但是通过测试,我们发现在用户点击下载后最终跳转到的下载地址均为hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用户通过任一下载链接下载到的均为同一病毒样本。该病毒样本为AutoIt安装包,通过病毒脚本逻辑运行病毒文件及静默软件安装包。病毒脚本,如下图所示:
病毒AutoIt脚本
被该病毒推广的软件包括:360安全浏览器和2345浏览器。被推广的软件安装包文件信息,如下图所示:
360浏览器安装包文件信息
2345浏览器安装包
病毒在推广软件的同时还会释放Rootkit病毒劫持浏览器首页,驱动文件名为随机名且没有扩展名,驱动文件还会通过内核级对抗手段躲避安全软件查杀。Rootkit病毒文件,如下图所示:
病毒文件
该病毒被加载后会强行劫持用户首页为2345网址导航(hxxp://www.iw121.com),被劫持后的首页情况,如下图所示:
被劫持后的浏览器首页
综上,火绒建议广大用户使用正版操作系统,在安装系统后优先安装安全软件,从而避免感染此类病毒。
三、附录
文中涉及样本SHA256:
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 劳动是一切幸福的源泉 4928562
- 2 青岛一景区爆满 回头就脸贴脸 4939901
- 3 爸爸为女儿在回家路旁种满鲜花 4887652
- 4 寻找劳动的色彩 献给忙碌的你 4707658
- 5 家长占用医院雾化机让孩子写作业 4682648
- 6 大唐不夜城丢刀侍卫演我五一加班 4502446
- 7 内蒙古1.2万切糕事件反转 4419566
- 8 王一博发言被打断两次 4309059
- 9 江苏疾控辟谣新能源车辐射致癌 4289423
- 10 成龙笑称每天要花1小时把头发刷白 4163970