知名软件火萤视频桌面恶意篡改首页 火绒已拦截
文章来源:安全圈
近期,火绒工程师根据用户反馈,发现火萤视频桌面软件携带恶意组件,执行篡改用户浏览器等恶意行为。由于该软件正在通过其官网和各大下载站进行传播,影响范围较广,根据“火绒威胁情报系统”监测和评估,或已影响超过数百万终端。
火绒用户无需担心,火绒已对火萤视频桌面恶意组件及安装包进行查杀。
受影响的浏览器
此外,火绒工程师溯源发现,无论是用户在官网下载火萤视频桌面软件,还是由下载站下载器等渠道推广安装的该软件,其安装包文件的数字签名信息均相同。
详细分析
一、详细分析
1、卸载时保留恶意程序winhost.exe
当用户执行火萤视频桌面卸载程序时,卸载程序会向配置服务器发送请求,根据回文判断是否将winhost.exe删除。如果保留winhost.exe,将在注册表中设置winhost.exe为自启动项。请求报文内容与解密内容,注册表自启设置代码如下图所示:
请求报文内容
请求报文解密内容
注册表自启设置
winhost.exe运行后从服务器获取恶意配置
获取配置
选择设置主页方式
获取配置后,根据bu的值选择4种浏览器之一,并填充相关信息(运行后解密),如:浏览器可执行文件路径,配置文件路径,设置页面链接等。填充配置文件路径,填充浏览器程序路径代码与解密数据如下图所示:
填充配置文件路径
填充浏览器程序路径
解密后的数据
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读
*广东省佛山市禅城区人民法院判决一使用JAVE语言非法接入12123官网非法获利案件
*T-Mobile五千万用户信息被盗后续:黑客接受采访 称是为了获得关注
*北京市海淀区人民法院判决一利用游戏充值漏洞反复非法获利案件