吃瓜要当心!黑客利用娱乐热点大肆传播病毒

近日,火绒威胁情报系统发现RdPack病毒正在快速传播,该病毒将文件名伪装成娱乐热点(景甜 张继科聊天记录 曝光.exe)的方式在微信群中大肆传播,经安全人员分析发现,运行病毒后会释放并静默安装RdViewer远控软件,黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能。

据火绒威胁情报系统显示,一天内火绒已帮助数千台终端成功拦截该病毒。火绒用户无需担心,火绒安全产品可拦截、查杀该病毒。已中毒的用户,可使用火绒【全盘查杀】并重启电脑即可彻底查杀该病毒。 

  • 866a0ad780924b7587e110d629efd032查杀图

一、详细分析病毒文件“景甜张继科聊天记录 曝光.exe”运行之后,会将RdViewer远控软件释放到C:\Program Files\FileName目录下,火绒剑监控到的行为,如下图所示:

230a7e0c712e4f4bbb479c7743d5a12f

火绒剑行为监控 通过RdClient.exe远控签名信息,可知该程序为RdViewer远控软件,

如下图所示:

3099d5cbdd6b4ad299d22a5939f273c0

通过执行不断网安装.vbs脚本来静默安装RdViewer,相关脚本,如下图所示:

de754ca92fd0475598a8827523600bfb

不断网安装.vbs

并添加系统服务来进行持久化操作,服务名为Rd_service,当计算机启动时RdViewer会静默启动,相关服务信息,如下图所示:

e710364de6ca4586b1eb6546934ec331

黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能,RdViewer管理端界面,如下图所示:

55e6d4cee3e14df6a2f059af9b9a2b3a

RdViewer管理端界面二、附录HASH:

6ca7cb196831403a892707b85a96c7bd

首码网www.98ni.com原创首发

© 版权声明
THE END
喜欢就支持一下吧
赞赏 分享