火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器

8 月 30 日,火绒安全团队截获病毒 “FakeKMS”。该病毒假装成 ” 小马激活 “、”KMS” 等着名激活工具,经由过程激活工具下载站点进行传播。该病毒不具备任何激活功能,一旦病毒入侵用户电脑,会当即劫持阅读器首页,同时还会静默安装 360 安全阅读器和 2345 阅读器,进而取利。别的,该病毒还会经由过程内核级对抗手段躲避安全软件查杀。

1、概述

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器 火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器

” 火绒产品(个人版、企业版)” 最新版即可查杀该病毒,建议近期访问过该网站下载软件的用户,尽快利用 ” 火绒产品 ” 对电脑进行扫描查杀。

二、样天职析

该病毒会将本身假装成系统激活工具,并经由过程本身搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同,该病毒除了会履行病毒行动外,不具有任何激活功能。病毒下载站点,以下图所示:

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器病毒下载站点

如上图所示,该页面中的激活工具下载链接浩繁。但是经由过程测试,我们发此刻用户点击下载后终究跳转到的下载地址均为 hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用户经由过程任一下载链接下载到的均为统一病毒样本。该病毒样本为 AutoIt 安装包,经由过程病毒脚本逻辑运行病毒文件及静默软件安装包。病毒脚本,以下图所示:

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器病毒 AutoIt 脚本

被该病毒推行的软件包括:360 安全阅读器和 2345 阅读器。被推行的软件安装包文件信息,以下图所示:

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器360 阅读器安装包文件信息

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器2345 阅读器安装包

病毒在推行软件的同时还会开释 Rootkit 病毒劫持阅读器首页,驱动文件名为随机名且没有扩大名,驱动文件还会经由过程内核级对抗手段躲避安全软件查杀。Rootkit 病毒文件,以下图所示:

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器病毒文件

该病毒被加载后会强行劫持用户首页为 2345 网址导航(hxxp://www.iw121.com), 被劫持后的首页环境,以下图所示:

火绒安全警报:病毒假装成激活工具强迫安装360、2345阅读器被劫持后的阅读器首页

综上,火绒建议广大用户利用正版操纵系统,在安装系统后优先安装安全软件,从而幸免感染此类病毒。

3、附录

文中触及样本 SHA256:

本文系转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。