官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 火绒安全警报:病毒伪装成激活工具 强制安装360、2345 ...
12345678910... 12下一页
返回列表 发新帖
查看: 30910|回复: 108
收起左侧

[PC样本分析] 火绒安全警报:病毒伪装成激活工具 强制安装360、2345浏览器

  [复制链接]
火绒安全实验室
火绒安全实验室 发表于 2018-8-31 10:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!



一、        概述
8月30日,火绒安全团队截获病毒"FakeKMS"。该病毒伪装成"小马激活"、"KMS"等知名激活工具,通过激活工具下载站点(站点(http://rjdq.zzymsmc.cn/jihuo/ty/jh2/)进行/)进行传播。该病毒不具备任何激活功能,一旦病毒入侵用户电脑,会立即劫持浏览器首页,同时还会静默安装360安全浏览器和2345浏览器,进而牟利。另外,该病毒还会通过内核级对抗手段躲避安全软件查杀。 1.png 2.png
"火绒产品(个人版、企业版)"最新版即可查杀该病毒,建议近期访问过该网站下载软件的用户,尽快使用"火绒产品"对电脑进行扫描查杀。

二、        样本分析
该病毒会将自身伪装成系统激活工具,并通过自己搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同,该病毒除了会执行病毒行为外,不具有任何激活功能。病毒下载站点,如下图所示: 3.jpg 病毒下载站点
如上图所示,该页面中的激活工具下载链接众多。但是通过测试,我们发现在用户点击下载后最终跳转到的下载地址均为hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用户通过任一下载链接下载到的均为同一病毒样本。该病毒样本为AutoIt安装包,通过病毒脚本逻辑运行病毒文件及静默软件安装包。病毒脚本,如下图所示: 4.jpg 病毒AutoIt脚本
被该病毒推广的软件包括:360安全浏览器和2345浏览器。被推广的软件安装包文件信息,如下图所示: 5.jpg 360浏览器安装包文件信息 6.jpg 2345浏览器安装包
病毒在推广软件的同时还会释放Rootkit病毒劫持浏览器首页,驱动文件名为随机名且没有扩展名,驱动文件还会通过内核级对抗手段躲避安全软件查杀。Rootkit病毒文件,如下图所示: 7.jpg 病毒文件
该病毒被加载后会强行劫持用户首页为2345网址导航(hxxp://www.iw121.com),被劫持后的首页情况,如下图所示: 8.jpg 被劫持后的浏览器首页
综上,火绒建议广大用户使用正版操作系统,在安装系统后优先安装安全软件,从而避免感染此类病毒。

三、        附录
文中涉及样本SHA256: 9.jpg
1.png
2.png

免费评分

参与人数 32吾爱币 +28 热心值 +31 收起 理由
lqqqqqqqqqq + 1 谢谢@Thanks!
e1036 + 1 + 1 谢谢@Thanks!
菜鸟也想飞 + 1 + 1 谢谢@Thanks!
zhnagios + 1 我很赞同!
俯身丶作画 + 1 + 1 这个2345真是个毒瘤,惊讶的是很多小白都在用,shit
pjxlxt + 1 + 1 谢谢@Thanks!
空巷青年 + 1 + 1 热心回复!
MaiLeQiong + 1 + 1 我很赞同!
xiaojiang_320 + 1 2345就是垃圾中的无与伦比战斗垃圾,看到就想喷
siuhoapdou + 1 + 1 谢谢@Thanks!
发抖的小喵喵 + 1 + 1 我很赞同!
huoji09 + 1 谢谢@Thanks!
poboren + 1 + 1 我很赞同!
40m41h42t + 1 + 1 用心讨论,共获提升!
天下武功 + 1 + 1 今天我的电脑也提升这个小马激活了,多亏我灵机一动,点了立即处理
悠悠娴娴 + 1 热心回复!
烟雨暗千家 + 1 + 1 谢谢@Thanks!
fff_dd + 1 + 1 鼓励转贴优秀软件安全工具和文档!
土味挖掘机 + 1 + 1 我很赞同!
月下独白 + 1 + 1 谢谢@Thanks!
小蘑菇他哥 + 1 + 1 我很赞同!
方妍心 + 2 + 1 我很赞同!
bpzm1987 + 1 + 1 谢谢@Thanks!
少年班 + 1 + 1 我很赞同!
凡尘不动我心 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
梦古无疆 + 1 + 1 谢谢@Thanks!
灵魂歌手 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
愚无尽 + 1 + 1 激活系统还是用我的激活工具包万能的
biantai110 + 1 + 1 原来是病毒,这个页面的我还真用过。怕怕
红尘氵梦 + 1 谢谢@Thanks!
timnech + 1 + 1 谢谢@Thanks!
我只是条咸鱼 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

感动何尚
感动何尚 发表于 2018-8-31 10:58
拎着醋瓶打酱油 发表于 2018-8-31 10:43
我办公室里电脑被个脑残装过小马,现在启动浏览器自动挂123.sougou789.com  不能重装,因为硬盘太多数据。 ...

告诉你个方法,用火绒杀,杀完去论坛下载火绒浏览器劫持专杀,还没用(当然没用,这些步骤是铺垫),加QQ群,群里反馈,火绒工程师最喜欢样本了,分分钟远程手动给你解决(滑稽),用过几次,火绒工程师真心免费帮忙

免费评分

参与人数 3吾爱币 +3 热心值 +3 收起 理由
福慧增长69 + 1 + 1 热心回复!
别说我 + 1 + 1 感谢分享~
拎着醋瓶打酱油 + 1 + 1 也是个经验 我去试试 感谢~

查看全部评分

【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 5

举报

羽月莉音
羽月莉音 发表于 2018-8-31 11:03
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
本帖最后由 羽月莉音 于 2018-8-31 11:06 编辑
拎着醋瓶打酱油 发表于 2018-8-31 10:43
我办公室里电脑被个脑残装过小马,现在启动浏览器自动挂123.sougou789.com  不能重装,因为硬盘太多数据。 ...

可以试试这个,应该能解决浏览器首页劫持问题 https://toolslib.net/downloads/viewdownload/1-adwcleaner/
[贴图错误,请阅读“贴图帮助”。/png;base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wBDAAgGBgcGBQgHBwcJCQgKDBQNDAsLDBkSEw8UHRofHh0aHBwgJC4nICIsIxwcKDcpLDAxNDQ0Hyc5PTgyPC4zNDL/2wBDAQkJCQwLDBgNDRgyIRwhMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjL/wAARCAAPAA8DASIAAhEBAxEB/8QAHwAAAQUBAQEBAQEAAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEAwUFBAQAAAF9AQIDAAQRBRIhMUEGE1FhByJxFDKBkaEII0KxwRVS0fAkM2JyggkKFhcYGRolJicoKSo0NTY3ODk6Q0RFRkdISUpTVFVWV1hZWmNkZWZnaGlqc3R1dnd4eXqDhIWGh4iJipKTlJWWl5iZmqKjpKWmp6ipqrKztLW2t7i5usLDxMXGx8jJytLT1NXW19jZ2uHi4+Tl5ufo6erx8vP09fb3+Pn6/8QAHwEAAwEBAQEBAQEBAQAAAAAAAAECAwQFBgcICQoL/8QAtREAAgECBAQDBAcFBAQAAQJ3AAECAxEEBSExBhJBUQdhcRMiMoEIFEKRobHBCSMzUvAVYnLRChYkNOEl8RcYGRomJygpKjU2Nzg5OkNERUZHSElKU1RVVldYWVpjZGVmZ2hpanN0dXZ3eHl6goOEhYaHiImKkpOUlZaXmJmaoqOkpaanqKmqsrO0tba3uLm6wsPExcbHyMnK0tPU1dbX2Nna4uPk5ebn6Onq8vP09fb3+Pn6/9oADAMBAAIRAxEAPwDvde1PUYfEAgh1ny0Zd0UaQI6rnIZZO/AAK56k+1eaePvh/FrviSXX7nVbi2F8ke1BZK/3I1QnPmDrtz0HWtHQ/FCa9b6pfaRAWtJ3hm1FJZWMtkxyMZICyAlWwVycYyFPFaOr65DqdtNbi2eIiRXtzuzwBtweePlA6dxXqYbB02lJrmT3fbReff8ABHjYzG1YNxi+V20XfV+XZfez/9k=[/img]
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

我只是条咸鱼
我只是条咸鱼 发表于 2018-8-31 10:28
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
现在小马真的就是病毒传播地
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

853560561
853560561 发表于 2018-8-31 10:29
吾何等像你一样优秀
如何快速判断一个文件是否为病毒!
回复 支持

举报

xkz959
xkz959 发表于 2018-8-31 10:32
我前天好像下载使用过。。。。。。
回复 支持

举报

拎着醋瓶打酱油
拎着醋瓶打酱油 发表于 2018-8-31 10:43
我办公室里电脑被个脑残装过小马,现在启动浏览器自动挂123.sougou789.com  不能重装,因为硬盘太多数据。所以想找个大佬求解。360 火绒都试过了,杀不了
回复 支持

举报

A-Li
A-Li 发表于 2018-8-31 10:45
咦,这是我昨天修复火绒时顺便报上去的一个问题,想不到这么快就处理了, 果然火绒的技术人员可靠呀。
回复 支持

举报

babylove4219
babylove4219 发表于 2018-8-31 10:46
360 火绒都试过了
回复 支持

举报

wenglk
wenglk 发表于 2018-8-31 10:46
求手动杀毒的方法
回复 支持

举报

chqsb123
chqsb123 发表于 2018-8-31 10:52
拎着醋瓶打酱油 发表于 2018-8-31 10:43
我办公室里电脑被个脑残装过小马,现在启动浏览器自动挂123.sougou789.com  不能重装,因为硬盘太多数据。 ...

NOD32 ESET试试看!
回复 支持

举报

do4family
do4family 发表于 2018-8-31 10:56
火绒是我的最爱,已经用几年了,一直不错!
回复 支持

举报

下一页 »
12345678910... 12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-27 08:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表