情况说明 | 非官方火绒剑存在后门风险，请用户谨慎下载使用

火绒安全实验室

火绒安全软件自发布以来，软件中的小工具因其实用性而受到用户的广泛关注和喜爱，但各种“独立小工具”也因此层出不穷。近日，我们关注到在某论坛出现了一款未经授权的“火绒剑”独立版本。工程师下载确认后，发现该软件原为火绒安全个人版5.0软件中的“火绒剑”工具，被非法提取后，遭到不法分子的恶意篡改并植入病毒，最终分享至终端用户，会对使用者的终端安全构成严重威胁。
经过沟通，相关论坛已对该分享贴进行删除处理。火绒安全软件今日升级病毒库后将支持查杀该样本，请广大用户及时更新病毒库。

相关论坛分享页面

火绒安全软件6.0查杀截图

在此，火绒安全团队严正声明：火绒安全官方并未推出或授权任何独立版工具。并且所有非官方渠道发布的软件，其安全性和可靠性均无法得到保证。我们强烈建议各位用户通过官方途径下载软件，请勿轻信第三方渠道，以免对您的财产和信息造成不可挽回的损失。

针对此类恶意篡改的行为，火绒安全团队保留追究法律责任的权利。我们将采取一切必要的法律措施，以保护我们的用户和公司的合法权益不受侵害。在必要时，我们会考虑报警，以杜绝此类行为的发生。

为了您的终端安全，我们建议您停止使用任何非官方版本的火绒安全相关软件，并通过火绒官网（https://www.huorong.cn/）下载使用官方版本，感谢您的支持。

以下为样本的流程图及简要说明（后续将会发布详细分析报告）：

流程图

通过对比发现，被篡改文件没有数字签名。

数字签名对比

当用户下载安装该样本后，被篡改的 uactmon.dll 病毒文件会被 HRSword.exe 程序加载。该 dll 文件在入口函数 dllmain_dispatch 中调用恶意函数，并通过解密函数解密出加载器代码。

解密加载器代码

随后，加载器解密出恶意 DLL 数据，获取 DLL 并调用 DLL 入口点函数，从而实现加载后门模块。

加载器函数

在后门模块中，该样本向20.2.66.39 发送 ICMP 报文，并根据返回值来执行相应任务。初步分析任务中包括执行程序、写文件以及类似于文件管理等代码。

根据返回值执行相应代码

样本HASH：

火绒安全

2024年10月29日

romobin

感谢分析以及风险提醒，不过出现这个你们也有部分责任，作为官方，好用的工具移除确实让很多用户粉丝非常难受，毕竟用惯了，感激你们的免费付出跟劳动，作为火绒忠实用户，希望你们越做越好，新版的火绒剑并不好用

Patches

建议官方单独出一个火绒剑的安装包吧.

Redragon

官方为何把火绒剑弄没了呢？

Hou

5版的火绒剑最好用

rank1987

希望官方单独出一个火绒剑的安装包

牛人王老五

感谢提醒! 但是对于已经安装运行过的机器, 如何判断是否已经中招了呢? 如何修复呢?

qqycra

我下载过但是没打开，没有数字签名的我都很注意

tutu2

想用火绒剑  退回老板就好了   慎用这种小工具

我的爱是你

现在的歪门邪道都搞到分析工具上了。
还好我保留的火绒剑独立版是略早前的低版本火绒。

ceciliaaii

当时看了没有签名，我就知道有问题，我从安装包里提出来的

wushengli

火绒和火绒剑有什么区别？不一样吗？

gunxsword

我用的火绒剑是自己提取的,没搞那么多,反正平时也要装火绒,只要装了,就可以用!
听说新版本又加上这个工具啦?6.0?不过我,5.0用习惯了,目前还不想换!

chboy

"某论坛出现"！注意