139-2450-5487
注意!一组点击器病毒正在快速传播 火绒已进行拦截
发布时间:2021-09-27 10:45:39
—发布时间—
2021-09-27 10:45:39
近日,火绒工程师发现一组点击器病毒,正在全网大面积传播,目前单日感染终端数量超过数万台,该病毒可随时占用用户网络资源以及CPU资源,执行流量暗刷等恶意行为。火绒紧急提醒广大用户做好防范准备。 根据火绒工程师分析,该病毒运行后,会下载执行无界面浏览器组件和点击器木马,然后在后台暗刷流量,攫取利益。此外,不排除病毒后续还会向用户电脑中下发其它恶意模块的可能。 火绒用户无需担心,火绒产品(个人版、企业版)已对该病毒及其相关服务器地址进行拦截查杀。非火绒用户可通过下载火绒软件,并开启【文件实时监控】、【恶意网址拦截】等功能,及时阻止病毒入侵。 以下为病毒分析内容: 一、样本分析 以下图中病毒进程树为例,dT3S.exe为病毒下载器进程,该程序执行后会从服务器获取无界面浏览器释放器(qt512.exe)和点击器木马(svsebc.exe)到用户本地执行。 病毒进程树情况 dT3S.exe模块主要功能为下载执行。截至到预警报告发布前,该病毒只下载暗刷流量的相关病毒模块,但并不排除后续会下发其它病毒模块的可能性。病毒模块名称及对应的服务器地址,如下图所示: 病毒模块名称及对应的服务器地址 下载执行相关逻辑代码,如下图所示: 下载执行相关代码 模拟用户操作相关代码,如下图所示: 模拟用户操作相关代码 控制页面跳转相关代码,如下图所示: 控制页面跳转相关代码 二、附录 样本hash注意!一组点击器病毒正在快速传播 火绒已进行拦截
作者: 浏览量:
关于比特信息
比特信息科技是一家专注于阿里云、网络安全及数据安全的企业,“诚信、专业、创新”是比特信息对待客户及合作伙伴的基本原则。比特信息科技通过与各大软、硬件厂商的紧密合作,为用户提供优质、实用的整体信息化解决方案,为客户提供阿里云、网络安全、主机安全、应用安全、数据安全等服务。
Copyright © 广东比特信息科技有限公司 All Rights Reserved. 备案号:粤ICP备19007201号-1
技术支持电话:18825383068
联系方式
咨询电话
139-2450-5487
广东省中山市石岐区民盈西路12号(自编号为B2050卡)
联系人微信二维码
关于比特信息
比特信息科技是一家专注于阿里云、网络安全及数据安全的企业,“诚信、专业、创新”是比特信息对待客户及合作伙伴的最基本原则。比特信息科技通过与各大软、硬件厂商的紧密合作,为用户提供优质、高效、实用的整体信息化解决方案,为客户提供阿里云、网络安全、主机安全、应用安全、数据安全等服务。
联系方式
咨询电话
139-2450-5487
广东省中山市石岐区民盈西路12号(自编号为B2050卡)
关注公众号
Copyright © 广东比特信息科技有限公司
技术支持电话:18825383068
