吃瓜要当心!黑客利用娱乐热点大肆传播病毒

发布者:Editor
发布于:2023-04-24 18:57

国内知名安全厂商火绒最近发现,RdPack病毒正在以将文件名伪装成娱乐热点(景甜 张继科聊天记录 曝光.exe)的方式在微信群中大肆传播。经火绒安全人员分析发现,运行病毒后会释放并静默安装RdViewer远控软件,黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为(如文件窃取、监控麦克风摄像头等)。


据火绒安全官方报告,病毒文件“景甜 张继科聊天记录 曝光.exe”运行之后,会将RdViewer远控软件释放到C:\Program Files\FileName目录下:


通过RdClient.exe远控签名信息,可知该程序为RdViewer远控软件:


通过执行不断网安装.vbs脚本来静默安装RdViewer,相关脚本,如下图所示:


并添加系统服务来进行持久化操作,服务名为Rd_service,当计算机启动时RdViewer会静默启动,相关服务信息,如下图所示:



最终,黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为(如文件窃取、监控麦克风摄像头等),RdViewer管理端界面,如下图所示:


另外在本月初,火绒威胁情报系统还监测到一款名为“DcRat”的后门病毒新变种在微信群中大肆传播。黑客团伙会将该病毒伪装成各类看似正常的文件(文档、图片、视频等),发送给微信群聊中的用户,并诱导用户打开,进而实施收集用户隐私信息、远控用户电脑等恶意行为。


此类借助热点事件传播恶意文件的案例已屡见不鲜,因此,建议大家在即时通讯应用的群聊里看到类似的文件时,一定要提高警惕,对于安全性没把握的任何陌生文件,至少也要先查杀再运行。



编辑:左右里

资讯来源:火绒安全

转载请注明出处和本文链接



声明:该文观点仅代表作者本人,转载请注明来自看雪