火绒安全警报：病毒伪装成激活工具强制安装360、2345浏览器 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2018-10-14

一、概述8月30日，火绒安全团队截获病毒"FakeKMS"。该病毒伪装成"小马激活"、"KMS"等知名激活工具，通过激活工具下载站点（站点（http://rjdq.zzymsmc.cn/jihuo/ty/jh2/）进行/）进行传播。该病毒不具备任何激活功能，一旦病毒入侵用户电脑，会立即劫持浏览器首页，同时还会静默安装360安全浏览器和2345浏览器，进而牟利。另外，该病毒还会通过内核级对抗手段躲避安全软件查杀。

"火绒产品（个人版、企业版）"最新版即可查杀该病毒，建议近期访问过该网站下载软件的用户，尽快使用"火绒产品"对电脑进行扫描查杀。二、样本分析该病毒会将自身伪装成系统激活工具，并通过自己搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同，该病毒除了会执行病毒行为外，不具有任何激活功能。病毒下载站点，如下图所示：

病毒下载站点如上图所示，该页面中的激活工具下载链接众多。但是通过测试，我们发现在用户点击下载后最终跳转到的下载地址均为hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe，即用户通过任一下载链接下载到的均为同一病毒样本。该病毒样本为AutoIt安装包，通过病毒脚本逻辑运行病毒文件及静默软件安装包。病毒脚本，如下图所示：