今天和大家分享一下我的知识,对传说中的宇宙登陆者2013也有帮助(党注意!Rootkit病毒的新变种通过私人服务器传播。)来说明一下,如果你恰好正在解决你的问题,别忘了关注这个网站,所以现在就开始吧。
最近,tinder安全实验室发现了一种新的Rootkit病毒。病毒是通过传说中的服务器传播的。用户中毒后,桌面出现一个名为“JJJ发布站”的快捷方式,删除后再次发布到桌面。当用户访问与图例相关的网页时,会被劫持到病毒作者预设的被劫持网页。并且Rootkit病毒会通过文件保护自己免受安全软件的查杀,还会上传系统版本、电脑名称等终端信息到病毒服务器。
病毒创建的快捷方式,如下图所示:
促销图标
快捷方式指向的推广网页,如下所示:
促销页面
火绒安全产品已经拦截并查杀了传说中的服务器及其恶意模块。已经感染病毒的用户可以使用tinder查杀工具清除病毒,重启电脑后使用tinder【快速扫描】功能彻底查杀病毒。
(特杀下载地址:https://bbs.huorong.cn/thread-18575-1-1.html)
Rootkit是一种系统内核级病毒。进入内核模块后,可以获得操作系统的高级权限,从而隐藏保护自己,绕过安全软件的查杀。很多Rootkit病毒会被网游服务器携带的恶意模块激活,tinder安全提醒游戏玩家要特别注意。
易燃物安全杀灭图
病毒分析
用户在访问与传说相关的网页时会被劫持到病毒作者预设的推广网页,如:当访问hxps://www.zsf.com/,会被劫持到hxps ://hebav . today/default/,相关代码如下图所示:
劫持相关代码
该病毒驱动程序会将恶意代码注入Lsass.exe和Svchost.exe的两个系统进程,伪装成一个系统进程来执行恶意程序。相关代码如下图所示:
注入代码
注入的恶意代码会检测360和腾讯电脑管家,还会上传一些系统版本、电脑名称等终端信息到病毒服务器。相关代码,如下图所示:
收集关于这台机器的信息。
附录
病毒哈希