火绒 安全 新型后门病毒伪装常用软件,正通过Google搜索引擎传播 四川 成都 科汇科技 IT服务商
近期,火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件,通过Google搜索引擎传播,主要针对中文用户。该病毒利用多种方式对抗杀软查杀,被运行后,黑客会立即控制受害者终端并进行任意恶意行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
以假冒"QQ音乐"为例,在Google中搜索“QQ音乐”,搜索结果的第一名就是该病毒,如下图所示:
该网站内容与QQ音乐原始官方网站高度相似,诱导用户下载,如下图所示:
用户运行通过Google搜索引擎下载的伪装安装包之后,程序就会释放病毒文件,随后执行黑客下发的恶意行为,包括文件监控、远程控制、键盘记录、窃取QQ微信隐私信息等。该病毒执行流程,如下图所示:
火绒工程师对该病毒进行详细分析后,发现该病毒是《后门病毒伪装成正常文件诱导点击 请保持警惕》报告中所提到的病毒的最新变种。该黑客团伙早期主要利用实时热点在国内的微信群聊中进行病毒的传播,现又以购买谷歌引擎传播病毒,预计后续还会持续更新传播手段。因此,火绒工程师建议大家尽量到官网下载软件,做到先使用安全软件扫描后再使用。
一样本分析
黑客所伪造的安装包命名为“QQMusic_Music.msi”。当执行该安装包后,真正的QQ音乐安装包会被释放到“C:\Program Files (x86)\qqmusic\qqmusic\”路径中,同时在桌面生成一个快捷方式。此外,病毒相关的文件会被释放到路径“C:\Windows\SysWOW64\dazui2m(随机文件夹名)”并运行。火绒剑能够监控到的行为,如下图所示:
该病毒采用了"白加黑"的技术策略,以规避安全软件的检测和清除,其隐蔽性表现突出。其中“libcef.dll”是经过黑客修改的病毒文件,而“webprocess.exe”则是一个带有正规签名“白”文件。相关的签名信息,如下图所示:
"libcef.dll" 是被黑客修改过的 DLL 文件,其主要功能是对内层的后门模块进行解密和加载。为了对抗杀毒软件查杀,该 DLL 文件采用了混淆技术。它使用了 C++ 异常以打乱正常程序的执行顺序,这也有效地干扰了安全分析人员的分析工作。这种混淆方法能够阻止 IDA 插件的 "反编译" 功能,混淆后的执行流程,如下图所示:
内层的后门模块采用了异或加密进行混淆。相关的解密代码,如下图所示:
后门模块解密后将直接加载到内存中执行,而不会在磁盘上留下任何痕迹。这种方式使得其执行过程难以被传统的磁盘基础防御机制检测到,以此提高了其隐蔽性,相关代码,如下图所示:
后门模块被加载后会主动连接C&C服务器(154.91.65.25),接收并执行C&C服务器下发的恶意指令,相关代码,如下图所示:
该病毒还会将自身添加到任务计划中,以实施持久化策略,从而达到在受害者电脑上持续运行的目的,相关代码,如下图所示:
添加完任务计划后,通过系统自带的任务计划程序来查看,如下图所示:
相较之前,最新变种增加了一些新的功能,例如,窃取微信数据库解密密钥、窃取QQ隐私信息、窃取Chrome浏览器数据等恶意功能。利用微信数据库密钥,攻击者能够解密受害者计算机上的微信数据库,从而获取受害者与其他人的聊天记录中的全部内容。通过这些信息,攻击者可以更有效地执行诈骗操作。获取微信数据库解密key并上传至C&C服务器,相关代码,如下图所示:
该变种还具有通过利用 QQ 快捷登录协议来获取本机登录的 QQ 相关信息的能力。这些信息包括但不限于 QQ 好友备注以及好友QQ 号、用户所加入的 QQ 群组等敏感信息。这些数据代表了用户的私人和社交生活的关键方面,其泄露可能会导致严重的隐私侵犯。与微信数据库解密密钥一样,攻击者可以利用这些信息来进行更有效的欺诈行为。获取qq隐私信息,并上传至C&C服务器,相关的代码,如下图所示:
通过对病毒代码的分析,我们可以推测该病毒具有窃取Chrome浏览器数据的恶意模块。在安全人员的调试与分析过程中,尚未捕获到这个恶意模块,但不能排除病毒在后续会下发这个恶意模块的可能性。相关的调用代码,如下图所示:
该后门模块具备各种恶意功能如:键盘记录、文件窃取、远程控制等恶意功能,相关功能相比之前变种,变化不大,通过对代码进行比较,我们可以确定该病毒是《后门病毒伪装成正常文件诱导点击,请保持警惕》中提到的病毒的最新变种。相关的功能代码对比,如下图所示:
公司:北京火绒网络科技有限公司,火绒安全软件企业版,火绒终端系统
火绒安全,火绒,火绒安全软件,火绒官网,火绒杀毒软件怎么样,
火绒企业版怎么收费,火绒企业管理员密码,火绒企业版监控员工电脑,
火绒企业版收费标准,火绒企业版价格,火绒企业版与个人版有何不同,
火绒企业版卸载要密码,火绒,火绒安全、EDR V1.0, ,火绒安全防护
服务区域:
云南火绒,昆明火绒 ,贵州火绒,四川火绒,重庆火绒 ,西藏火绒,拉萨火绒,
产品:火绒安全卫士(专业版)软件 ,火绒终端安全管理系统v2.0,火绒安全终端安全管理系统2.0版,火绒终端安全管理系统V1.0,火绒终端安全管理系统,火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版,火绒终端企业版macOS版。火绒企业版收费标准,火绒企业版, 火绒企业版监控员工电脑,火绒企业版和个人版区别, 火绒企业版价格,火绒企业版多少钱,火绒企业版多少钱一年,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,huorong endpoint security management system2.0
火绒终端防病毒系统,火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ,火绒终端安全管理系统( Linux版),火绒安全终端安全管理系统V2.0Linux版,信息安全软件 火绒 windows PC 三年续费版(10用户起订),火绒安全 终端安全管理系统V2.0Linux版 安全软件,火绒专杀工具(企业版),火绒安全 火绒终端安全管理系统2.0(旗舰版),火绒企业网络版杀毒软件升级,火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱
功能:实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,
病毒防御:病毒查杀,防病毒终端软件:网络版杀毒软件,服务器杀毒软件,Linux服务器杀毒软件,防病毒软件EDR、杀毒软件(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等,网络版杀毒软件 1套,终端安全控制系统,EDR终端安全管理,外网电脑杀毒软件,勒索病毒诱捕,文件实时监控,恶意行为监控,U盘保护,下载保护,邮件监控,web扫描。反病毒引擎供应商。定时全网扫描,
漏洞管理:(漏洞修复)补丁分发,补丁修复,漏洞攻击拦截、攻击溯源,支持漏洞集中修复,补丁文件管理,按终端修复,下发漏洞修复。横向渗透防护,
移动存储管理功能:安全U盘,U盘管控,U盘注册、U盘信任,USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等
终端管控:
外设管控,
系统防御:系统加固,应用加固,软件安装拦截,摄像头防护,浏览器保护
应用软件管理:企业软件管家,软件捆绑安装拦截,软件安装拦截,
网络防御:横向渗透防护,网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁,恶意网址拦截,动态恶意软件检测,无文件恶意软件,终端动态认证,邮件监控,文件实时监控,网络入侵防护。恶意行为监控,勒索病毒诱捕。
访问控制:IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制,下发IP访问限制,安全软件自我保护,密码保护。
应用加固:web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件,系统加固
资产管理:资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、,终端审计、edr功能,远程桌面,预防勒索病毒,拦截恶意攻击等功能。清点硬件资产,
日志报告:
中心管理:
服务端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016
客户端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统
品类:终端安全:终端安全防护,终端安全软件,企业级杀毒, 终端安全防护软件授权,网络终端安全管理项目,终端设备防护,终端安全管理设备,终端安全专项保障,终端安全管理平台,终端安全管理系统,终端安全管理平台升级及维保项目,终端安全运营平台,终端安全管理系统升级,终端安全防护,终端安全防护扩容服务,终端安全管理平台,终端安全管理系统,端点保护市场,edr运营体系, 终端防户能力,全网管控,电脑终端防护需终端安全管理windows版求。xdr,edr,信息安全软件 火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,
杀毒软件:
信息安全软件 ,企业杀毒软件,网络安全病毒防治与安全加固服务项目,火绒杀毒软件,火绒杀毒,网络版防病毒软件