知名软件火萤视频桌面恶意篡改首页 火绒已拦截

文章来源：安全圈

  近期，火绒工程师根据用户反馈，发现火萤视频桌面软件携带恶意组件，执行篡改用户浏览器等恶意行为。由于该软件正在通过其官网和各大下载站进行传播，影响范围较广，根据“火绒威胁情报系统”监测和评估，或已影响超过数百万终端。

     火绒用户无需担心，火绒已对火萤视频桌面恶意组件及安装包进行查杀。

受影响的浏览器

此外，火绒工程师溯源发现，无论是用户在官网下载火萤视频桌面软件，还是由下载站下载器等渠道推广安装的该软件，其安装包文件的数字签名信息均相同。

一、详细分析

1、卸载时保留恶意程序winhost.exe

当用户执行火萤视频桌面卸载程序时，卸载程序会向配置服务器发送请求，根据回文判断是否将winhost.exe删除。如果保留winhost.exe，将在注册表中设置winhost.exe为自启动项。请求报文内容与解密内容，注册表自启设置代码如下图所示：

请求报文内容

请求报文解密内容

注册表自启设置

winhost.exe运行后从服务器获取恶意配置

获取配置

选择设置主页方式

获取配置后，根据bu的值选择4种浏览器之一，并填充相关信息（运行后解密），如：浏览器可执行文件路径，配置文件路径，设置页面链接等。填充配置文件路径，填充浏览器程序路径代码与解密数据如下图所示：

填充配置文件路径

填充浏览器程序路径

解密后的数据

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。祝愿每一位读者生活愉快！谢谢!

推荐阅读

*广东省佛山市禅城区人民法院判决一使用JAVE语言非法接入12123官网非法获利案件

*T-Mobile五千万用户信息被盗后续：黑客接受采访 称是为了获得关注

*北京市海淀区人民法院判决一利用游戏充值漏洞反复非法获利案件