吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 23177|回复: 386
上一主题 下一主题
收起左侧

[PC样本分析] 吃瓜要当心!黑客利用娱乐热点大肆传播病毒

     关闭 [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2023-4-21 19:08 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-4-21 19:13 编辑

近日,火绒威胁情报系统发现RdPack病毒正在快速传播,该病毒将文件名伪装成娱乐热点(景甜 张继科聊天记录 曝光.exe)的方式在微信群中大肆传播,经安全人员分析发现,运行病毒后会释放并静默安装RdViewer远控软件,黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能。

据火绒威胁情报系统显示,一天内火绒已帮助数千台终端成功拦截该病毒。火绒用户无需担心,火绒安全产品可拦截、查杀该病毒。已中毒的用户,可使用火绒【全盘查杀】并重启电脑即可彻底查杀该病毒。  




查杀图

一、详细分析


病毒文件“景甜张继科聊天记录 曝光.exe”运行之后,会将RdViewer远控软件释放到C:\Program Files\FileName目录下,火绒剑监控到的行为,如下图所示:


火绒剑行为监控



通过RdClient.exe远控签名信息,可知该程序为RdViewer远控软件,如下图所示:



通过执行不断网安装.vbs脚本来静默安装RdViewer,相关脚本,如下图所示:


不断网安装.vbs


并添加系统服务来进行持久化操作,服务名为Rd_service,当计算机启动时RdViewer会静默启动,相关服务信息,如下图所示:



黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能,RdViewer管理端界面,如下图所示:


RdViewer管理端界面



二、附录


HASH


免费评分

参与人数 127吾爱币 +104 热心值 +111 收起 理由
赠君一身伤 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
crazy_hb + 1 + 1 都23年了。还有人运行来路不明的EXE。中毒也是活该啊!
erzi + 1 我很赞同!
GhostOO + 1 我很赞同!
kkni + 1 + 1 我很赞同!
13044821 + 1 谢谢@Thanks!
银月 + 1 + 1 大佬方便看下站内新嘛?
m16139 + 1 热心回复!
Lasuy + 1 我很赞同!
forper + 1 + 1 用心讨论,共获提升!
Pader-V + 1 我很赞同!
LYTLYT + 1 谢谢@Thanks!
LeeRyou + 1 我很赞同!
xnink + 1 谢谢@Thanks!
shengjiaohao + 1 + 1 我很赞同!
Jason12138jason + 1 + 1 我很赞同!
cntjgaowei + 1 + 1 谢谢@Thanks!
Gsn. + 1 + 1 谢谢@Thanks!
Wzs313 + 1 我很赞同!
欺负老实人么 + 1 + 1 我很赞同!
SuperZ001 + 1 + 1 热心回复!
shoomylove + 1 + 1 谢谢@Thanks!
Seven777888 + 1 + 1 我很赞同!
jjjzw + 1 + 1 谢谢@Thanks!
nfscarbon + 1 我很赞同!
wczsdwczsd + 1 我很赞同!
hy8051hy + 1 + 1 热心回复!
Jayden-Zhu + 1 + 1 热心回复!
nakasou + 2 + 1 热心回复!
suyuewen + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
liuhao1992 + 1 我很赞同!
kwnthink + 1 + 1 谢谢@Thanks!
skiss + 1 + 1 谢谢@Thanks!
wh2510 + 1 我很赞同!
YY0716 + 1 + 1 我很赞同!
bingshen + 1 + 1 谢谢@Thanks!
q110 + 1 + 1 用心讨论,共获提升!
hanlaoshi + 1 + 1 谢谢@Thanks!
shuaibiliao + 1 + 1 热心回复!
poster1 + 1 + 1 用心讨论,共获提升!
yanecc + 1 + 1 热心回复!
cccluck + 1 我很赞同!
Battex + 1 + 1 我很赞同!
zxc520 + 1 + 1 热心回复!
itsdandy + 1 谢谢@Thanks!
清末明初666 + 1 + 1 热心回复!
cyc1307 + 1 + 1 谢谢@Thanks!
TimeMachine1 + 1 + 1 不了解的东西不能乱点
laosi520 + 1 我很赞同!
stuc + 1 + 1 大佬,火绒怎么设置定时杀毒啊
jay0118 + 1 热心回复!
hurric + 2 + 1 谢谢@Thanks!
shushido0213 + 1 + 1 谢谢@Thanks!
dadao815 + 1 + 1 用心讨论,共获提升!
xu556600 + 1 + 1 谢谢@Thanks!
opp + 1 + 1 谢谢@Thanks!
adoudou + 2 + 1 谢谢@Thanks!
忆千愁 + 1 + 1 用心讨论,共获提升!
wwfbzyy + 1 热心回复!
fanhui412 + 1 + 1 谢谢@Thanks!
AkaTerrorist + 1 用心讨论,共获提升!
wei1688 + 1 热心回复!
lingtingfeiyu + 1 + 1 谢谢@Thanks!
zshq1 + 1 + 1 热心回复!
伊韵 + 1 我很赞同!
tvrcfdfe + 1 + 1 我很赞同!
Ning1016 + 1 + 1 谢谢@Thanks!
qinxiaoben + 1 我很赞同!
夜醉了 + 1 + 1 谢谢@Thanks!
lemon395 + 1 + 1 我很赞同!
zhangwuaifan + 1 谢谢@Thanks!
mhaitao + 1 + 1 我很赞同!
mozhongzhou + 1 我很赞同!
meilidemm + 1 谢谢@Thanks!
sunline + 1 + 1 谢谢@Thanks!
Cofei430 + 1 + 1 我很赞同!
不拍电影不掉泪 + 1 我很赞同!
sea-tao + 1 谢谢@Thanks!
你就别回头了 + 1 热心回复!
1173904561 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
FEBBD + 1 用心讨论,共获提升!
sigewangdaiduie + 1 + 1 谢谢@Thanks!
18696358796 + 1 鼓励转贴优秀软件安全工具和文档!
Gold9T + 1 热心回复!
TiakonPwd + 1 + 1 我很赞同!
towy007 + 1 + 1 谢谢@Thanks!
creazycar + 1 + 1 用心讨论,共获提升!
ovohuang + 1 + 1 我很赞同!
xw1995 + 1 + 1 我很赞同!
CYLmtthhh + 1 + 1 鼓励转贴优秀软件安全工具和文档!
会谦逊的陆逊 + 1 + 1 我很赞同!
q1012105048 + 1 + 1 谢谢@Thanks!
库克船长什么样 + 1 + 1 热心回复!
9324 + 1 热心回复!
zcchk135820 + 1 谢谢@Thanks!
Bob5230 + 1 热心回复!
sanstuby + 1 + 1 谢谢@Thanks!
wangbaoyu + 1 + 1 我很赞同!
warobot + 1 谢谢@Thanks!
灵彤 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Zet_Dark 发表于 2023-4-21 19:44
网上冲浪这么久,这种类型的文件一看就有问题啊
推荐
jyjjf 发表于 2023-4-21 19:27
推荐
w1246341 发表于 2023-4-21 23:26
一看后缀exe
二看大小几kb
都不鸟它

免费评分

参与人数 3吾爱币 +4 热心值 +3 收起 理由
ycsm + 1 + 1 我很赞同!
dingeugene + 1 + 1 我很赞同!
JavaSB + 2 + 1 我很赞同!

查看全部评分

推荐
likaiaixuexi 发表于 2023-4-21 19:32
支持,上个月把360换成了火绒,感觉系统清静了不少
5#
lcg888 发表于 2023-4-21 19:10
老规矩这波还是支持火绒的
6#
弗由 发表于 2023-4-21 19:22
感谢大佬的热心分享
7#
sorryzzital 发表于 2023-4-21 19:23
我一向都不关注这些东西,网络安全确实很重要,我们还是小心为好!
8#
whitehack 发表于 2023-4-21 19:23
希望火绒永远好用
9#
vipzzc 发表于 2023-4-21 19:24
这个可以啊
10#
LionJiu312 发表于 2023-4-21 19:40
wocao? 现在吃个瓜的这么危险。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-1 00:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表