首页 > 安全资讯 > 正文

“乘风破浪”的黑客有多野?破解软件也能成为远控木马的“顺风车”

面对视频观看或软件下载时不断弹出的垃圾信息,再好的心情也会瞬间泡汤。当看到网上各类去广告绿色纯净版的破解软件,以为自己找到了福音;但事实却可能是,一个更大的深坑暗藏其中!

近日,360安全大脑就监测到一批打着“纯净版、去广告”等噱头传播远控木马的破解软件,持续在网络中横行肆虐。经360安全大脑分析发现,此次远控木马的传播者对流行的迅雷、爱奇艺、obs studio录像等软件的破解版进行了二次打包,并在打包过程中悄然将利用cobaltstrike生成的木马程序加入其中,最后再通过各类博客、网盘等方式进行传播扩散,对广大用户的个人隐私及财产安全造成极大威胁。

木马查杀 

目前,360安全大脑已经实现了对该木马的查杀支持,建议近期使用过“迅雷X-10.1.34.800纯净优化版”、“爱奇艺视频去广告安装版_h.msi”等软件的用户,尽快使用360安全卫士进行查杀。

破解软件暗藏远控木马,一旦开启电脑“秒黑” 

360安全大脑分析发现,此款远控木马的攻击手法堪称隐蔽至极。以破解版迅雷软件为例,用户在解压运行“!绿化.bat”的批处理脚本,并安装破解版迅雷后,潜伏已久的木马程序也会自动“登陆”到用户的计算机之中。当用户打开这款带毒的“迅雷”后,Thunder.exe主程序会加载被黑客篡改过的ffmpeg.dll模块。而后,该恶意模块会再通过powershell运行木马脚本payload.ps1

木马查杀

其中,插入了攻击代码的ffmpeg.dll模块会通过执行如下命令来调起payload.ps1脚本: 

木马查杀

执行的payload.ps1木马脚本里存有一串字符串,脚本会在对该字符串进行Base64解码后,再进行一次异或解密,最终得到一段shellcode代码以开启下一步工作。

木马查杀

最终得到的shellcode代码被执行后如下图所示: 

木马查杀

这段shellcode执行后会连接远程地址108.61.160.106:4445,并等待远程控制指令,这也意味着你的电脑此刻已被成功“攻陷”。远端的控制者可通过下发各种指令来实现浏览被控制客户端的文件目录、实现截屏、端口扫描、键盘记录等功能操作。 

木马查杀

如此看来,或许刚安装完这个“破解版迅雷”的你,可能还没来得及用它下载完一部期盼已久的新片,你的电脑就已经被黑客远程控制。这种憋屈的感觉,怎能不叫人对此病毒深恶痛疾! 

广东老铁遭受“扎心暴击”,360安全大脑实现全面查杀 

值得注意的是,360安全大脑通过大数据分析,发现受影响用户的区域分布范围较广。其中,广东老铁成为深受迫害的头号目标,紧随其后的依次为浙江、湖北和山东网友。

中招用户分布

在安全形势日益严峻的今天,层出不穷的网络威胁日趋多样化,类似接破解软件为载体进行传播的远控木马实际并非少数,严重危害到终端系统安全。

不过广大用户无需过分担心,在360安全大脑的极智赋能下,360安全卫士可有效查杀该类远控木马。基于该类远控木马的潜伏性和广布性,360安全大脑给出如下安全建议:

1、前往weishi.360.cn,下载安装360安全卫士,对此类远控木马威胁进行有效查杀;

2、对于杀毒软件报毒的程序,不要轻易添加信任或退出杀软运行;

3、提高安全意识,建议从正规渠道下载软件,如官方网站或360软件管家等。

360安全卫士 

IOCs

SHA1

068bd461edb302bf32ccff7414c5de3cc7fcb539

6cb37b2c30fe36112fdc3074d18fae29773fe4fc

be24b36d8a3181a28e296ff7d7475eb47c1e7f7a

IP

108.61.160.106 


CC

cs40a.microsoftup.life

cs313a.microsoftup.life

cs313a.microsoftup.xyz


360安全卫士

热点排行

用户
反馈
返回
顶部