近日，火绒收到多名用户反馈，通信工具遭遇远程控制，自动向群内发送带有诱导性名称的病毒文件，若群友不慎点击，将同样陷入此类循环。经火绒安全工程师分析确认，该情况正是由银狐类、毒鼠类病毒导致。该类病毒通常以企事业的管理人员、财务人员、销售人员等为主要目标，伪装成带有税-务、汇总、汇票、收款、稽查、通告、公示等关键词的文件，诱骗用户点击下载，从而获得计算机控制权限。

尊敬的火绒用户：我们很抱歉通知您，即日起，“火绒安全软件5.0”最新版本5.0.75.0将下线安全分析工具“火绒剑”，已下载至本地的“火绒剑”也将无法正常使用。“火绒剑”作为火绒安全专为安全专业人士打造的一款分析工具，具有系统诊断、恶意代码处置、进程管理等能力，常被安全从业者及安全爱好者用来进行系统分析、诊断及安全问题处置。然而，根据“火绒威胁情报系统”及火绒安全工程师对各种攻击现场的分析来看，该工具屡次被网络攻击者恶意利用，强制结束安全软件，进而方便实施其他恶意攻击行为，致使“火绒剑”被恶意利用成为攻击链条中的一环。因此，为了彻底消除该潜在安全风险，杜绝黑客利用“火绒剑”恶意攻击的现象，本着对用户终端安全负责的原则，我们决定自“火绒安全软件5.0.75.0”版本起下线该工具。此外，对于互联网中存在的“火绒剑”独立版，也将陆续无法使用。不过，用惯“火绒剑”的极客们不用担心，后续我们将在规避潜在安全风险的前提下，在“火绒安全软件6.0”重新上架一款系统诊断和安全分析工具，敬请期待。如有任何问题请及时留言或在论坛联系我们。火绒安全2023年11月21日

近期，火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒通过劫持用户访问的网页来推广自己的私服网站，并且具有广告推广功能。此外，其还采用多种对抗手段来对抗杀毒软件查杀，对用户构成较大威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。查杀图用户登录“天龙八部”游戏私服后，Rootkit病毒会被释放，随后进行网页劫持、广告推广等恶意行为。用户再次访问“天龙八部”相关网页时，会跳转到指定的私服网站，该病毒的执行流程，如下图所示：病毒执行流程图一样本分析病毒功能的分析初始化阶段Rootkit病毒被加载后，会先将自身复制到Driver目录下，并添加注册表启动项，相关代码，如下图所示：复制自身到Driver并添加注册表启动项之后，在驱动模块中会向C&C服务器请求配置信息，成功从C&C服务器获取配置信息后，该Rootkit病毒将这些配置信息整合并添加到各个恶意功能的链表结构中，有些配置会进行加密并保存到注册表中（网页劫持规则、要拦截的驱动列表）。在执行恶意功能时，Rootkit病毒会根据对应链表中的配置信息来确定执行的具体行为和方式。相关代码，如下图所示：请求C&C服务器配置信息获取到的相关配置信息，如下图所示：配置信息病毒自我保护策略为了降低被检测和清除的可能性，该病毒将自身伪装成系统驱动pci.sys。这种伪装策略使得它在运行时能够混淆在正常系统进程中，让安全人员进行排查时容易疏忽，相关代码，如下图所示：伪装成系统驱动从火绒剑中可以看见有两个pci.sys驱动，如下图所示：火绒剑该Rootkit病毒还会通过Hook

近期，火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件，通过Google搜索引擎传播，主要针对中文用户。该病毒利用多种方式对抗杀软查杀，被运行后，黑客会立即控制受害者终端并进行任意恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。

近期，火绒威胁情报系统监测到有黑客团伙针对金融行业进行钓鱼攻击。用户点击钓鱼文件后，其会下载多个文件进行互相关联，随后黑客可以远程控制受害者电脑。不仅如此，该病毒还使用包括

近期，火绒威胁情报系统监测到一批盗版软件安装包正在通过伪造的官网进行传播，其中包含后门病毒，该病毒被激活后，黑客可以执行截取屏幕图像、远程控制等恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。

近期，火绒威胁情报系统监测到一款后门病毒正在快速传播，被激活后会通过远程服务器下载多个恶意文件并获取远端恶意代码，随后黑客可以进行截取受害者屏幕图像、远程控制受害者电脑等各种恶意操作。不仅如此，该病毒还使用多种手段来躲避安全软件的查杀，隐蔽性极强。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。火绒查杀图该黑客团伙投递的文件名大部分与用户常用软件有关，

端午福利不断浓情端午节日端午节快乐记忆中的端午是奶奶一针一线缝制的五彩香包是爷爷点在我们头上的雄黄酒是妈妈亲手包的粽子是爸爸悬挂在门头的艾草是手中书本中的屈原是电视中龙舟劈波斩浪……一年一端午一岁一安康祝大家好运接"粽"而来彩蛋福刻：利时刻DRAGON

微软官方发布了2023年6月的安全更新。本月更新公布了94个漏洞，包含32个远程执行代码漏洞、18个特权提升漏洞、10个拒绝服务漏洞、10个身份假冒漏洞，6个信息泄露漏洞、4个安全功能绕过漏洞、其中6个漏洞级别为“Critical”（高危），70个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。涉及组件Azure

近期，火绒威胁情报系统监测到后门病毒伪装成“36种财会人员必备技巧(珍藏版)

01黑客论坛47.8万名成员数据遭泄露据报道，黑客论坛RaidForums的数据库被泄露，其中包含47.8万名成员的信息。2022年4月，RaidForums的论坛网站和基础设施被查封，管理员及同伙被捕。今年5月初，一个名为Exposed的论坛上线，迅速在暗网中流行起来，并将RaidForums成员数据库暴露给其他黑客和研究人员。虽然该数据库在论坛被查封后就很可能已经落入执法部门手中，但这些数据对于那些建立黑客档案的安全研究人员来说仍然有用。相关链接：https://www.freebuf.com/news/367957.html“家”被偷了的滋味体会到了吗？02特斯拉被曝涉大规模数据泄露据报道，有人向《德国商报》泄露了100GB的特斯拉数据，包括超过10万名前现任员工的信息、客户的银行详细信息，甚至是马斯克的社保号码以及私人邮箱和电话等。此外，还包括约有4000份有关意外加速或“幽灵刹车”的客户投诉。据悉，泄密者为特斯拉前员工，但即便是离职员工行为，特斯拉也会因未能充分保护客户、员工和商业伙伴的数据，触犯欧盟的《通用数据保护条例》（GDPR）。目前，荷兰数据保护局已经就此展开调查。若确定特斯拉存在违规行为，特斯拉恐将被欧盟监管机构处以32.6亿欧元（约合人民币247亿）的巨额罚款。相关链接：https://www.thepaper.cn/newsDetail_forward_233173310318岁黑客入侵博彩网站窃取60万美元一名18岁的威斯康星州男子被指控入侵博彩网站，并从多个个人账户中窃取了数十万美元。FBI表示，该男子和其同伙对一个体育博彩网站发起撞库攻击，能够进入大约6万个账户，然后向账户中添加新的付款方式，如果与账户持有者能够验证，他们就可以提取该账户中的所有资金。该团伙使用这种方法从大约1600个受害者账户中窃取了约60万美元。此外，该男子还出售这些账户的访问权限，包括教学提取账户内的资金。目前，其被指控有六项刑事罪，最高可能面临50年监禁的刑期。相关链接：https://www.freebuf.com/news/367955.html你是在过一种很新的成人礼吗？04希腊教育部因网络攻击导致全国考试被干扰近日，希腊教育部遭到了历史上最严重的网络攻击，导致高考考试中断和延迟。为了确保全国统一考试标准，希腊使用名为学科库的在线平台进行高中考试，但由于系统中断，学生们在教室里等了数小时才开始考试。希腊教育部表示，这次分布式拒绝服务（DDoS）攻击是来自114个国家的计算机共同发起的，试图超过考试平台的运转负荷。目前，希腊最高法院检察官已下令开展司法调查，要求警方网络犯罪部门提供协助。相关链接：https://hackernews.cc/archives/4407105技嘉曝安全漏洞影响约700万台设备近日，安全研究员发现技嘉售出的271款近700万片主板中存在“类似后门”的安全漏洞。这些设备的UEFI固件中藏着一个Windows可执行文件，用不安全的方式检索更新，从而触发隐藏的更新程序。攻击者可以利用这种机制，在用户不知情的情况下安装恶意程序，并且后续难以检测和删除。更糟糕的是，由于UEFI代码位于主板上，因此即使擦除驱动器并重新安装操作系统，注入固件的恶意软件也可能持续存在。相关链接：https://www.freebuf.com/news/368145.htmlHUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。求分享求收藏求点击求在看

01微软VSCode被上传恶意扩展近日，研究人员发现有网络攻击者在微软的VSCode

01Linux被曝内核漏洞，攻击者可完全控制系统近日，Linux系统的Netfilter框架被曝存在一个内核漏洞，攻击者利用该漏洞可以在内核内存中执行任意读写，非特权本地用户可将特权提升到root级别，从而完全控制系统。安全专家称，该漏洞影响多个Linux内核版本，包括当前的稳定版本v6.3.1。目前，研究人员与Linux内核团队分享了他们的漏洞利用，以帮助他们开发修复程序，并提供了详细描述所采用的漏洞利用技术和PoC的源代码。相关链接：https://www.anquanke.com/post/id/28867102推特网络攻击案主谋预被判七十年一名23岁的英国黑客已就2020年7月的推特大规模网络攻击事件表示认罪。该黑客使用社交工程技术在2020年窃取了包括巴拉克-奥巴马、比尔-盖茨和埃隆-马斯克在内的130个Twitter账户，总计净赚12万美元，并且在2019年期间采用SIM卡交换技术从纽约市一家加密货币公司盗取79.4万美元。目前，司法部门已没收其约79万美元的被盗资金。该黑客将于6月23日被判刑，综上所有指控被判刑期最高超过70年。相关链接：https://www.freebuf.com/news/366215.html70多万踩70多年缝纫机蛮合算的03优步前首席安全官掩盖数据遭泄露近日，优步前首席安全官Joe

微软官方发布了2023年5月的安全更新。本月更新公布了49个漏洞，包含12个远程执行代码漏洞、9个特权提升漏洞、8个信息泄露漏洞、5个拒绝服务漏洞、5个安全功能绕过漏洞、1个身份假冒漏洞，其中6个漏洞级别为“Critical”（高危），33个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。涉及组件Microsoft

01Edge被曝将用户网站访问记录泄露给必应据报道，微软Edge浏览器被曝存在泄露用户隐私问题，会将用户所访问网站的URL发送给其必应API网站。据悉，微软Edge现有个创作者关注功能，该功能在默认情况下处于启用状态。它的设计目的是让用户在YouTube和整个网络上关注他们最喜欢的内容创作者，但它将用户访问的几乎每个网站的URL都发送到了必应。对此，微软表示正在展开调查。相关链接：https://www.163.com/dy/article/I3EG6NL50511A5GF.html02某女演员晒裸照反击黑客勒索近日，《饥饿游戏》女演员薇洛·西尔德斯晒出一张全裸侧身自拍，称自己最近被黑客用私密照威胁和勒索。此事引发了全球互联网热议，窥探、泄露他人隐私和勒索行为已成为全世界的毒瘤。此前，该电影的出演者詹妮弗·劳伦斯也曾遭遇过类似的恶意偷拍事件。相关链接：https://www.163.com/dy/article/I3R0KAO7055369EK.html请让他把牢底坐穿好吗？03男子雇佣“黑客”恢复聊天记录市民刘先生想要恢复自己与某人的聊天记录作为报警证据，便在某网络二手交易平台APP上物色到“黑客”可以帮自己恢复误删的微信聊天记录，没想到前前后后花了4000元，收到的交货竟然只是一个电线插座。经警方调查，假冒黑客的周某从2022年1月失业后，全靠女友的工资生活，偶然得知有软件可以恢复微信聊天记录，就虚构自己有此能力发布了广告信息。近日，法院依法判处被告人周某有期徒刑七个月，并处罚金4000元。相关链接：https://www.163.com/dy/article/I3R98IIM0511A5GF.html找的是黑客，来的是“乐色”04OpenAI被曝新漏洞允许新用户无限试用近日，OpenAI为了让用户尝试其他开放的人工智能项目，特意为新用户提供了免费的信用积分额度（约7美元）。随后，安全人员发现OpenAI存在一个漏洞，通过该漏洞，用户可以免费获得无限的信用额度来测试不同的OpenAI项目，包括ChatGPT。目前，OpenAI已修复了该漏洞。相关链接：https://www.freebuf.com/news/365537.html05乌克兰某男子因出售3亿人数据被捕乌克兰警察逮捕了来自Netishyn市的一名36岁男子，这名男子以500-2000美元不等的价格出售了超过3亿人的个人数据和敏感信息，包括护照、纳税人号码、出生证明和银行账户等，并且这些信息来自不同的国家。据悉，该男子是Telegram上私密群组和频道的管理员。执法人员扣押了他的手机、几十个硬盘、SIM卡、电脑设备和服务器设备。相关链接：https://www.solidot.org/story?sid=74827HUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。求分享求收藏求点击求在看

01吃瓜要当心！黑客利用娱乐热点大肆传播病毒近日，火绒安全发现一种名为RdPack的病毒伪装成娱乐热点（景甜

服务器遭到攻击，攻击者利用暴破进入服务器后直接安装了Trigona勒索软件，并加密了所有文件，此外，攻击者还安装了名为CLR

近期，火绒威胁情报系统监测到一款后门病毒“Xidu”正在快速传播，该病毒入侵电脑后，会收集计算机及用户隐私信息、加载其他恶意模块，并可随时远程控制受害者电脑，对用户构成很大安全威胁。火绒安全实验室分析，后门病毒“Xidu”入侵后会执行来自C&C服务器下发的指令：1、收集用户计算机信息，如QQ号、用户名、杀毒软件、CPU、磁盘、内存等；2、下载执行任意文件；3、弹出指定网页。病毒还会以插件的形式来扩展新的恶意功能，如键盘记录、浏览器密码盗取等，并通过快捷方式来将自身添加到注册表进行持久化。更为严重的是，黑客可以随时通过病毒远程控制受害者电脑，执行任意操作。除此之外，病毒使用了多层“白加黑”的技术来躲避安全软件的查杀，隐蔽性很强。火绒用户无需担心，火绒安全产品可对该病毒进行拦截、查杀。查杀图注：“白加黑”即一种利用具有可信程序（通常带有可信的数字签名信息）加载恶意DLL的劫持技术，很多恶意软件利用该技术来绕过安全软件的主动防御。一样本分析病毒的执行流程，如下图所示：病毒的执行流程该病毒最早由MSI安装程序来释放部分文件到“C:\Users\Public\Documents\NGLA\”目录中，并执行my7z.exe和NNN_chrome.exe，MSI相关信息，如下图所示：MSI相关信息my7z.exe中会解压bin.7z中的文件释放出黑白文件以及shellcode，解压密码为：Xidu，相关代码，如下图所示：解压bin.7zbin.7z压缩包内容，如下图所示：bin.7z压缩包内容bin.7z被解压后，通过多层白文件来绕过杀毒软件的查杀，MSI安装程序会执行白文件NNN_chrome.exe，在NNN_chrome.exe中会导入另一个白文件Sysinv.dll，而Sysinv.dll又导入了Getinfo.dll（被劫持），最终执行被劫持的Getinfo.dll。在Getinfo.dll中会解压并执行DLL_DLL.7z中的shellcode，相关代码，如下图所示：解压执行shellcode在shellcode

商业版）下文为记者采访过程中，火绒安全对ChatGPT在网络安全行业应用现状及前景的主要观点。Q自ChatGPT火爆以来，火绒安全是否观察到利用该技术进行在线攻击的案例？火绒安全:

新一期的绒绒说安全又和大家见面了，今天我们为大家介绍下什么是跳板攻击。跳板攻击是黑客入侵目标网络的一种常用手段。黑客在实施攻击时，通常不会直接从自己的系统向目标发动攻击，而是先攻破若干中间系统，使之成为“跳板机”，再通过这些跳板机完成攻击行动，这个过程就是跳板攻击。（注：本文中的跳板机与运维人员常用的跳板机不同，其指已经被黑客控制，且可以访问内网进行横向攻击的肉鸡）黑客实施跳板攻击的原因主要有两个：一方面是跳板攻击的匿名性比较高，且跳板机越多，溯源难度就越高；另一方面是跳板机所在的位置可能比黑客计算机所在的位置更有利，方便其深入专用网络进行后续攻击。例如在针对西北工业大学的网络攻击中，美国NSA下属TAO攻击了中国周边国家的大批服务器，并控制了大量跳板机，随后精心挑选了其中的49台跳板机和5台代理服务器进行窃密行动，这些跳板机主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。（图源于《关于西北工业大学发现美国NSA网络攻击调查报告》）与上述流程类似，下面绒绒以火绒工程师帮助某企业解决的一次实际攻击为例，为大家介绍下跳板攻击的流程。（以火绒帮助某企业解决的一次实际攻击为例）01确认目标黑客利用扫描工具等手段收集目标敏感信息，找到目标脆弱部分，准备实施攻击。02设计跳板黑客利用暴破、漏洞等方式，完全远程控制一台或多台电脑，这些被完全远程控制的电脑也就是我们常说的肉鸡。在这些肉鸡中，黑客会筛选出多台不易被发现的肉鸡作为跳板机，为后续攻击作准备。03跳板入侵（1）破坏安全环境黑客在跳板机上卸载或关闭安全软件、防火墙，以便植入病毒，长期维持控制权或入侵时不被拦截。（2）上传黑客工具黑客在跳板机中上传用来盗窃信息、破坏系统环境或完全控制电脑的恶意软件程序。（3）横向攻击并投毒黑客利用上传的恶意工具作进一步横向渗透，例如进行获取Windows账户名和密码、扫描网络内终端以及获取企业内文件共享情况等操作。以便向内网其他电脑投放勒索病毒、后门程序、蠕虫病毒等高危病毒，获取并控制高价值的目标电脑。04重复攻击在内网的其他终端上重复的3个步骤，最后利用多个跳板，对目标机器发起攻击。此外，若企业之前存在网络共享的情况，黑客还可以在入侵网络内任何一家企业后，以该企业为跳板，攻击其它的关联企业。一旦被攻击的其它企业未做防护，将面临各类安全风险。对此，火绒安全产品为大家提供了有针对性的防护措施，来降低跳板攻击发生的可能性。火绒安全解决方案开启【密码保护】功能，可以防止黑客卸载或关闭安全软件，有效避免安全环境被破坏。开启【程序执行控制】功能，可限制Hacktool等具有破坏功能的恶意程序在电脑中运行。在重要服务器开启【远程登录防护】功能，可根据需要在设置远程登录IP白名单。开启【文件实时监控】功能，即时拦截病毒程序，实时保护用户的终端不受病毒侵害。开启【横向渗透防护】功能，可及时阻断内网已存在的渗透威胁的同时，做到追本溯源，找到跳板终端。开启【恶意行为监控】功能后，可帮助用户监控程序运行的安全性，以增强对终端的防护。（以火绒帮助某企业解决的一次实际攻击为例）如今黑客攻击事件日渐增多，用户和企业受到网络攻击的风险和频率也越来越高。因此，火绒工程师为大家整理了一些预防指南，以规避类似安全事件带来的风险：预防指南尽量关闭不必要的端口，如：135，139，445，3389等端口；关闭不必要的文件共享，若有需要，请设置强密码访问且禁用对共享的匿名访问；勿随意打开陌生邮件，谨慎下载陌生邮件附件，不从不明网站下载软件，若非必要，应禁止启用Office宏代码；建议服务器密码使用高强度且无规律密码，并定期更换密码；对没有互联需求的服务器/工作站内部访问设置相应控制，对于同一网络环境下的其它企业或部门，在无业务需求的情况下，进行网络隔离；及时更新系统和为主机打补丁，修复相应的高危漏洞；使用移动存储设备时，遵循先查杀，后使用原则；对重要文件和数据（数据库等数据）进行定期非本地备份；建议企业或单位统一部署终端安全软件，定期升级病毒库，全盘杀毒。火绒终端安全管理系统V2.0“火绒终端安全管理系统2.0”自推出以来，已覆盖全国50多个细分行业的数万家政企单位。该产品拥有的诸多实用强大的功能，可充分满足企事业单位用户在互联网威胁环境下的电脑终端防护需求。产品近期进一步扩大了服务范围，推出了Linux控制中心及终端、macOS终端版本，欢迎前往火绒安全官网免费试用。订阅号又改版了，没有加星标★的公众号，大家可能会错过绒绒的最新推送，为防失联，请小伙伴们星标★一下【火绒安全】吧~操作很简单，方法如下：分享收藏点赞在看

2月23日，麒麟软件安全生态联盟首次工作会议成功召开。“麒麟软件安全生态联盟”由麒麟软件联合安全厂商、固件厂商等多家单位共同成立，旨在联合打造原创性、引领性的基于麒麟操作系统的自主内生安全产业体系和创新生态。火绒安全作为首批成员单位正式加入。火绒安全成为麒麟软件安全生态联盟首批成员单位联盟单位将在产品生态适配、安全漏洞管理、联合解决方案、应用推广等领域开展深入协同，形成常态化安全生态建设机制，共同推进创新软硬件的可持续发展和市场应用。作为拥有完全自主知识产权技术的终端安全企业，火绒安全先后加入开放麒麟openKylin社区、先进操作系统创新联盟，积极参与以国产操作系统为核心的跨界协同生态建设。目前，火绒安全产品深度适配银河麒麟、中标麒麟、优麒麟、统信、鲲鹏、深度、神州网信、中科方德、中科红旗、飞腾、海光、龙芯、兆芯等众多国产操作系统与CPU，具有较强兼容性，以“稳定、好用、易用”的特点应用于广大企业终端安全管理中。国产操作系统的生态建设需要操作系统厂商、开源社区、ISV、IHV、安全厂商、用户等多方参与共建，涵盖兼容适配、性能测试、联合优化、解决方案和联合落地实施多个环节。终端安全作为安全生态“大市场、大生态、大联合”中的重要一环，火绒安全将积极发挥行业技术优势，与联盟伙伴协力打造自主创新、好用、易用的产业创新生态，推动建设安全可靠的供应链和价值链，服务于重点行业和国家网络安全的需要。火绒终端安全管理系统V2.0火绒终端安全管理系统是全面实施EDR运营体系的新一代反病毒终端安全产品。系统秉承“情报驱动安全”新理念，集强大的终端防护能力和丰富方便的全网管控功能于一体，性能卓越，轻巧干净，可充分满足企事业单位用户在互联网威胁环境下的电脑终端防护需求。“火绒终端安全管理系统V2.0”沿袭了1.0版本极致专业的产品品质和核心技术，增加了更多针对企业内外网脆弱点的防护功能，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观地将威胁可视化，让管理轻便化，充分达到保护企业网络财产与信息安全的目的。覆盖全国50多个细分行业的数万家政企单位都在使用“火绒终端安全管理系统V2.0”。-扫码关注-了解更多安全干货、资讯以及火绒安全大事记分享收藏点赞在看

01谷歌向安全研究人员支付1200万美元的漏洞赏金近期，谷歌发布了漏洞奖励计划的统计数据，详细概述了安全研究人员如何发现安全漏洞以及获得的漏洞赏金数额。资料显示，2022年，谷歌为安全研究人员报告的2900多个漏洞，支付超1200万美元赏金，是其有史以来最高的漏洞奖金。除此之外，其还向未发现漏洞的170多名研究人员发放了25万美元的赠款。相关链接：https://hackernews.cc/archives/43334不说了，我去找漏洞了…02动视暴雪疑似员工敏感信息遭泄露游戏巨头动视暴雪此前遭到了一次黑客攻击，导致员工的敏感信息以及《使命召唤》的内容计划表遭泄露。动视暴雪对此回应称：“2022年12月4日，我们的信息安全团队处理了一起钓鱼事件。经过彻底调查，我们确定员工的敏感数据、游戏代码没有被访问”。外媒Insider

2023年2月22-23日，“中国石油和化工企业网络与信息安全技术峰会”在北京召开。会上，来自中国石油、中国石化、中国海油、国家管网等集团网络安全主管与技术专家、科研院所知名专家和学者、网络安全公司代表等共500余位嘉宾参加了大会。火绒安全作为终端安全领域的行业专家受邀出席。

前言《火绒安全2022年终端安全洞察报告》由火绒安全实验室、火绒在线支持响应中心联合撰写。统计数据展现了2022年新政策新形势下的病毒攻击趋势、个人终端乱象变化、企业终端威胁现状。报告以真实、全面、及时的数千万“火绒安全软件”终端为情报基石，以专业、严谨、可靠的“火绒威胁情报系统”为信息中枢，汇聚了火绒安全反病毒专家的行业洞察和威胁响应团队的实践经验，真实地反映了当前国内终端安全最新状况及变化趋势。关键数据39.9亿2022年，火绒安全拦截终端攻击39.9亿次，小幅增长于2021年。50%火绒安全产品共拦截（不含手动拦截）23.03亿次弹窗广告，弹窗总量较2021年明显下降近50%。1476%从2018年至今，Win64位病毒样本数量提高了1476%，且依然在加速增长。这与64位操作系统市场占有率的扩大，以及Win32病毒与安全软件的对抗愈发复杂有关。60%内核级病毒（Rootkit）远超流氓软件、勒索病毒、木马病毒，成为个人终端最常见病毒。其中，60%的内核级病毒被应用于锁定用户浏览器首页。3.03亿据“火绒威胁情报系统”监测，2022年火绒安全产品共拦截3.03亿次漏洞攻击。200万+火绒安全拦截200余万次勒索病毒攻击。勒索事件的增长，与勒索软件即服务（RaaS）体系的成熟运作有关。终端攻击趋势根据“火绒威胁情报系统”的监测和评估，2022年火绒安全拦截终端攻击39.9亿次，小幅增长于2021年（39.2亿次①

月以来，被告人徐某英、李某龙等人以在装饰公司、售楼部、房产中介公司等工作便利，通过自己收集、与他人交换等方式非法获取公民个人信息，以此获取客户资源。案发时，向他人提供、非法出售公民个人信息共

微软官方发布了2023年2月的安全更新。本月更新公布了80个漏洞，包含38个远程执行代码漏洞、12个特权提升漏洞、10个拒绝服务漏洞、9个身份假冒漏洞、8个信息泄露漏洞、2个安全功能绕过漏洞、1个篡改漏洞，其中9个漏洞级别为“Critical”（高危），66个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。涉及组件.NET

分享收藏点赞在看

01犯下超5万起网络犯罪的黑客被逮捕据报道，法国当局新近抓获了一名黑客，名为Julius

·元宵节福利来袭一眨眼，一瞬间，一年元宵佳节又到了！新的一年新起点，月圆人圆事事圆。火绒安全祝大家元宵节快乐！今年元宵节不猜灯谜，绒绒邀你来场“坦白局”！来评论区说说#你眼中的火绒#，2月8日在全部留言区随机抽取10位小伙伴送出火绒定制鼠标垫一个！

确认遭到黑客攻击，泄露了一千万客户数据。这些数据包括姓名、地址、电子邮件帐户、电话号码、订单详细信息和银行卡的最后四位数字，其中并未涉及支付信息。JD

01“鹅鸭杀”服务器遭到网络攻击近日，狼人杀类小游戏《Goose_Goose_Duck》游戏悄然爆火出圈，连续三天Steam在线人数超过60万，该游戏也被玩家们称为“鹅鸭杀”。然而，该游戏的服务器近日遭遇两次大规模网络攻击，官方不得已关闭服务器进行维护，并聘请网络安全专家来帮助提升服务器性能和安全性。游戏官方称，该服务器已经遭受了大约两个月攻击。目前该游戏已重新放开服务器。相关链接：https://www.ithome.com/0/666/838.htm02推特回应2亿数据被出售，并非系统漏洞导致今年8月，Twitter承认某网络犯罪组织利用2022年1月修复的漏洞，盗取了540万推特用户的信息，引起了大量的关注。在风波平息不久后，上周一名黑客公开了超过2亿Twitter用户数据的文件，并且部分数据可以准确地与账户相关的电子邮件地址联系起来，用户怀疑与之前的漏洞有关。对于该事件，推特表示，公司组织了安全专家，进行彻底调查后，发现没有证据表明泄露的用户数据是利用推特系统漏洞获取的，并声称这些数据可能是收集的8月已被公开数据。相关链接：https://www.freebuf.com/articles/355054.html03英国皇家邮政遭到网络攻击英国皇家邮政是英国规模最大的企业之一，承担英国及国际主要邮政业务。据报道，近日一起网络攻击事件对其运营造成了严重影响，使其终止了国际邮寄服务。英国皇家邮政建议客户在问题解决前暂停寄送，并表示英国本土的收寄服务没有造成影响，但已经寄出的国际邮件递送将面临延迟或取消。相关链接：https://securityaffairs.com/140667/hacking/royal-mail-suffered-cyber-incident.html?_ga=2.124990158.537945718.1673488427-334848698.1666665235&_gl=104塞尔维亚政府机构遭到DDoS攻击塞尔维亚内政部宣布其遭遇了几次大规模DDoS攻击，使内政部IT基础设施瘫痪。塞尔维亚首都贝尔格莱德表示，五次大型DDoS攻击目前已经被“击退”，并强调强化的安全协议已经启动，虽然此举可能会导致某些服务间歇性中断，政府工作效率降低，但这一切都是为了保护内政部的数据安全。目前，还没有任何黑客组织站出来对塞尔维亚内政部DDoS攻击事件负责。相关链接：https://www.freebuf.com/news/354790.html05勒索组织将BART列入受害者名单近日，旧金山湾区快速交通系统（BART）被该勒索软件组织Vice

火绒安全企业产品“火绒终端安全管理系统V2.0”近日正式发布Linux版控制中心，目前支持部署在X86_64及ARM架构、glibc

微软官方发布了2023年1月的安全更新。本月更新公布了98个漏洞，包含39个特权提升漏洞、33个远程执行代码漏洞、10个信息泄露漏洞、10个拒绝服务漏洞、4个安全功能绕过漏洞、2个身份假冒漏洞，其中11个漏洞级别为“Critical”（高危），87个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。01涉及组件.NET

SECURITY回顾2022初心永驻

01LockBit为攻击加拿大儿童医院道歉LockBit勒索软件团伙就攻击儿童医院（SickKids）一事正式道歉，并为该医院发布了一个免费的解密软件。据了解，LockBit禁止攻击能够直接造成患者死亡的医疗机构。LockBit称合作伙伴的这种行为违反了规定，并解除了合作伙伴关系。相关链接：https://hackernews.cc/archives/42983022亿Twitter用户的数据被公开近日，一个包含超过2亿Twitter用户数据的文件在黑客论坛上发布，价格约为2美元。目前，已经能够确认许多列出的Twitter个人资料是正确的，但整个数据集并没有得到确认，Twitter也暂未作出回应。相关链接：https://www.freebuf.com/news/354336.html03奔驰、宝马等汽车品牌存在API漏洞据报道，近20家汽车制造商和服务机构存在API安全漏洞，这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪，窃取车主个人信息的恶意攻击活动。目前，受影响的供应商已经修复所有漏洞问题。相关链接：https://hackernews.cc/archives/4300804洛杉矶市住房管理局遭到勒索软件攻击近日，洛杉矶市住房管理局（HACLA）证实遭到了LockBit勒索软件的攻击。LockBit组织表示窃取了15TB的数据，并要求HACLA在1月12日前交付赎金。目前，HACLA表示正在与网络安全专家合作以恢复系统，并解决此次事件。相关链接：https://www.anquanke.com/post/id/28508705丰田印度分公司遭遇数据入侵据报道，丰田基洛斯卡汽车公司的数据泄露事件可能暴露了部分客户的个人信息。该公司是丰田与印度基洛斯卡集团的合资企业。目前，丰田没有披露本次数据泄露的规模，也没有透露受影响的客户的数量。相关链接：http://m.ce.cn/ttt/202301/03/t20230103_38322717.shtml有点良心，但不多HUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。求分享求收藏求点击求在看

近日，火绒虚拟沙盒针对驱动病毒实现通用脱壳，可获取到驱动病毒核心特征，提高此类病毒的查杀效果，更好地防御相关未知威胁。火绒“在线支持与响应平台”统计发现，近几年驱动病毒数量在不断增长，火绒安全接到用户此类病毒问题的求助也在逐年递增。驱动病毒往往通过恶意劫持用户网页流量、盗取用户信息、降低系统安全性等操作，给用户电脑带来安全隐患，侵害用户个人隐私。驱动病毒问题已经成为国内个人用户遇到的主要安全威胁之一。驱动病毒是一种内核级病毒，病毒可以对操作系统内核资源进行劫持，或通过隐藏其他病毒进程、注册表、文件相关操作等方式与安全软件进行对抗。在此类对抗场景中，驱动病毒由于对运行稳定性要求较高，所以主要表现为使用“保护壳”方式对抗安全软件查杀，如VMProtect等。而针对带有“保护壳”的驱动病毒，常规查杀手段无法高效精准地对其识别查杀。另外一种现象是，越来越多的驱动病毒开始带有微软的WHQL签名，从而使得安全软件常规查杀效果进一步降低。此次火绒虚拟沙盒针对驱动病毒实现通用脱壳的技术升级，可以戳穿驱动病毒的“伪装”，通过模拟仿真的方式，还原驱动病毒的本质代码、数据和病毒行为，捕捉病毒核心特征，实现“稳、准”查杀。以Rootkit病毒Rootkit/W64.Agent.h为例，该病毒使用微软的WHQL签名，并且使用VMProtect进行加密。相关文件信息，如下图所示：病毒驱动文件信息VMProtect加密后，病毒的核心特征被加密，脱壳前和脱壳后对比图，如下图所示：脱壳前和脱壳后对比图以“拉法病毒”的过滤驱动模块HomePop.sys为例，该模块使用VMProtect进行加密，在火绒虚拟沙盒环境中对其进行通用脱壳后，获取到病毒核心特征，达到更好的查杀效果。相关特征，如下图所示：“拉法病毒”内层核心特征病毒使用的证书信息，如下图所示：病毒使用的证书信息以《传奇私服正携带病毒劫持网络流量

YEAR#用一句歌词形容你的2022#，你会如何作答呢？盆友们可以在留言区畅所欲言，共同开启美好的2023吧~

01加密货币矿池BTC.com数字资产被盗据报道，全球最大的加密货币矿池之一BTC.com遭到网络攻击，导致公司和用户价值约300万美元的加密资产被盗。BTC.com表示，被盗资产中属于客户的资产约70万美元，属于公司的资产约230万美元。在有关部门协助下，该公司找回了一些被盗的加密货币，但没有披露具体金额。相关链接：https://www.freebuf.com/news/353705.html02Meta同意支付7.25亿美元和解诉讼近日，Facebook和Instagram的母公司Meta已同意支付7.25亿美元来解决“剑桥分析丑闻”相关的长期集体诉讼。该诉讼称，Meta允许第三方应用程序在未经用户同意的情况下访问用户的个人信息。据悉，这笔和解金额是美国数据隐私集体诉讼中所达成的最大和解金额，也是Meta有史以来在诉讼中支付的最高金额。相关链接：https://new.qq.com/rain/a/20221228A056T80003美国某医院27万名患者信息遭泄露据报道，位于美国路易斯安那州的查尔斯湖纪念医院发出通告称，该院近期发生了一起网络勒索攻击事件，近27万名患者信息遭到泄露。攻击者获得了对其网络的未授权访问权限，并窃取了敏感文件，包含患者信息。该院已以邮件的形式，将此次数据泄露事件告知受影响的患者。相关链接：https://www.freebuf.com/news/353798.html04俄亥俄州法院、警察局遭到勒索软件攻击近日，俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到了勒索软件攻击。该市信息技术IT供应商使用的某个远程访问工具中存在一个安全漏洞，攻击者安装了名为LockBit的勒索软件，并要求支付赎金。目前，易受影响的软件已经从所有系统中移除。相关链接：https://www.freebuf.com/news/353816.html05新型YouTube

01薅羊毛团伙获利千万元近日，当涂县公安局成功打掉一个制作、贩卖“薅羊毛”软件的团伙，涉案金额1000余万元。该犯罪团伙针对电商公司网购平台，贩卖专用批量下单软件。购买者利用该软件以极低价格从平台批量购得商品，转手以低于市场零售价出售，赚取差价牟利，导致企业产生较大经济损失。目前，犯罪团伙已被抓捕，案件仍在进一步侦办之中。相关链接:http://gaj.mas.gov.cn/jwzx/scjx/40618484.html02推特百万用户数据被公开据报道，Twitter超过540万条用户数据被黑客在暗网公开，并且免费共享给所有人。发布者声称，这仅仅是Twitter数据泄露的一部分，他们还窃取了更多的用户数据。这些数据包括帐户的ID、名称、位置等详细信息，数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。Twitter在其隐私中心发布声明，确认此前被曝出的540万个账户信息泄露事件确实存在。相关链接:https://www.freebuf.com/news/350907.html03Facebook因5.33亿用户隐私遭泄露被罚近日，爱尔兰数据保护委员会（DPC）因2021年Facebook大规模数据泄露事件，向其母公司Meta开2.65亿欧元（约20亿人民币）巨额罚单。据了解，黑客将5.33亿用户隐私数据泄露至黑客论坛，其中包括了手机号码、姓名、性别等信息。经DPC调查确认Meta违反了《通用数据保护条例》（GDPR

据火绒威胁情报系统监测，近几年64位病毒样本数量大有上涨趋势，从2018年至今，64位病毒样本数量已增长了1445%，且今年速度明显加快，如臭名昭著的Emotet病毒、IcedID病毒、Dridex病毒均出现大量64位新变种。火绒安全实验室预测，未来64位病毒数量还会以较快速度逐年递增。2018年-2022年Q3的64位病毒样本量增长趋势由于Win32病毒样本与安全软件对抗的复杂度逐渐增高，以及近年来64位操作系统市场占有率的扩大增长，致使病毒作者开始逐步尝试转向开发基于Win64的恶意代码及病毒混淆器，从而对抗安全厂商的查杀。穿上“马甲”照样认识你“马甲”即病毒混淆器。在病毒与安全软件的对抗过程中，病毒混淆器一直扮演着极为重要的角色。病毒会套上一层甚至多层“马甲”，伪装成正常程序，隐匿自己的真实目的，误导安全软件的判定，达成其不正当目的。“抓住事物本质及其规律，才能事半功倍”——火绒安全深谙核心的反病毒技术之道。火绒反病毒引擎拥有识破“马甲”的能力，即便“马甲”形态变化多端，依然能够透过层层表象，剖析恶意代码本质，还原病毒核心特征，进而更好地识别并查杀同一病毒家族的不同变种或未知变种。火绒反病毒引擎的这种能力，则得益于独有的高仿真度“虚拟沙盒”环境。仿真生态与“寄居蟹”对于“虚拟沙盒”，可以理解为一套仿真的生态环境，病毒就像寄居蟹一样藏在不同的病毒混淆器中。为了让寄居蟹放松警惕，行动起来，仿真生态要足够还原寄居蟹真实生存环境。即让病毒以为身处真实目标环境，并开始执行核心恶意代码，因此暴露最本质的病毒特征。火绒虚拟沙盒设计了完备的32位操作系统环境仿真，模拟了超过23000个WindowsAPI，涵盖了绝大多数操作系统的核心机制，包括但不限于：文件系统、注册表系统、窗口系统等，几乎“一比一”复刻了系统环境。因此，病毒能够“放心”运行，进而被火绒引擎识别，及时查杀，并精准判定病毒类型及家族名称。火绒安全产品得益于引擎对病毒准确的识别能力，可以帮助企业网络管理员对问题精准定性，及时确认安全风险敞口，进而采取应对措施；同时会针对感染型病毒中被植入的恶意代码做到准确剥离，还原用户原始文件。积跬步

01黑吃黑？男子下载外挂“薅羊毛”反被薅近日，江苏一小伙想“薅羊毛”赚外快，搜索下载了一款“小丑女下单”外挂神器，没想到自己的电商账号反被盗号。经民警调查发现，该软件被植入木马程序，打着免费使用的幌子，吸引“羊毛党”下载，一旦下载账号将被远程控制，成为嫌疑人栗某“薅羊毛”的工具。经查，屈某向多人出售该木马病毒，还发展了2名下线。法院最终判处屈某有期徒刑1年5个月，缓刑2年，并处罚金2万元；栗某累计非法操控他人计算机系统超过200台，也被判处相应刑罚。相关链接：https://new.qq.com/rain/a/20221016A048J20002某团伙使用无钥匙入侵技术盗取汽车据报道，法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙，共有31人被捕。该团伙利用一种欺诈性软件，在不使用遥控钥匙的情况下盗窃车辆，并且不断更新和修改他们的软件，以对抗公司为加强车辆安全而采取的措施。相关链接：https://www.freebuf.com/news/347226.html03澳大利亚零售巨头220万用户数据被出售近日，澳大利亚零售巨头Woolworths

近期有较多网友反馈电脑被无故安装360安全卫士极速版。经火绒工程师溯源发现，目前360安全卫士极速版正通过购买搜索引擎排名、弹窗提示等“诱导式”手段推广并静默安装。根据火绒威胁情报系统监测显示，从年初至今，已有超千万用户受到360系软件上述推广行为的影响，且于近期呈大幅上升趋势。

求分享求收藏求点击求在看

自发布火绒安全软件“GPU加速”功能后，不少用户反馈希望扩展更多的处理器。由此我们对该功能进行再升级，不再限制GPU类型（独显、集显、核显）及品牌，如Intel、NVIDIA、AMD等市面上广泛应用的GPU都可使用。用户对GPU加速功能的讨论火绒安全软件“GPU加速”功能，意在将CPU的计算任务部分转移到GPU里运行，充分利用硬件资源以提升扫描效率。用户可在软件安全设置界面勾选“启用GPU加速”按钮全局开启，或在病毒查杀界面对单次扫描任务开启该功能。全局启用GPU加速对单次扫描启用GPU加速用户启用GPU加速之后，在发起“病毒扫描”任务时，扫描速率改善尤为显著，不论是用户首次扫描（即每次引擎组件升级、库升级后的第一次扫描），或是二次扫描（即在已缓存的情况下的扫描动作）都可以实现加速体验。同时，凡涉及病毒检测逻辑的用户使用场景，例如打开软件程序或文档、开机启动时的安全扫描、解压缩文件等等，速率都会有所改善。我们将继续以用户真实需求为导向，不辜负每一份期待，为守护用户的终端安全而持续努力。老用户更新到最新版即可享受加速体验，新用户可到火绒安全官网（https://www.huorong.cn）下载使用。火绒安全企业版产品也将于近期同步升级。常见问题Q1:我有多个显卡时，使用“GPU加速”功能优先调用哪个？如何自定义显卡？多显卡组合下默认情况优先使用任务管理器中显示为GPU0的显卡。用户可在以下位置修改：安全设置>常规设置>基础设置>扫描设置，下拉列表选择显卡，选择后重启计算机生效。Q2:功能升级后可以在任何处理器（GPU）上使用了吗？是的。该功能对GPU类型不限制。Q3:什么情况下“GPU加速”无法使用？“GPU加速”功能需满足“DirectX11及以上版本”即可使用。DirectX版本查看方式：1、选择“开始”按钮，在搜索框中键入“dxdiag”，然后按Enter。2、在DirectX诊断工具中，选择“系统”标签页，然后在“系统信息”下面即可查看DirectX版本号。Q4:该功能开启后会和其他软件起冲突吗？经测试不会影响其他软件使用，但我们建议在做病毒查杀扫描操作时尽量避免同时开启需大量使用GPU算力的程序。如有问题可随时与我们反馈。HUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。求分享求收藏求点击求在看

CVSS：7.8被利用级别：检测到利用这是一个攻击复杂度低，无需用户交互的EoP漏洞，且已经检测到在野利用。经过身份验证的攻击者可以利用此漏洞提升易受攻击系统的权限并获得

近期，火绒安全实验室拦截到一批携带病毒的“小马激活工具”。病毒启动后会从远程服务器上下载恶意配置信息，并执行静默安装软件的恶意行为。推广的软件包括“360”、“2345”系列软件以及“腾讯电脑管家”等其他软件，不排除后续下发其他恶意配置的可能。火绒安全软件可查杀该病毒；【软件安装拦截】功能可拦截被推广的软件。被推广的软件病毒查杀图通过百度搜索“激活工具”发现，排名靠前的三条搜索结果都在传播该病毒，这说明病毒作者妄图通过购买百度竞价排名的方法大范围传播病毒。百度搜索结果进一步溯源该激活工具的网址hxxp://wd9.hmd888.top，发现该域名属于“桂林市木兮网络科技有限公司”，该公司的网站备案信息，如下图所示：该公司网站备案信息一详细分析病毒启动后会从远程服务器上下载恶意配置信息，并执行对应的恶意行为，如：下载、执行任意文件，后台静默安装软件等。病毒的执行流程，如下图所示：病毒的执行流程Setup_Activator.exe是初始化模块，该模块是个Autoit脚本编译的，并使用混淆手段来躲避杀毒软件查杀。相关代码，如下图所示：被混淆的代码将其去混淆后，发现该模块会释放、执行原始的激活工具和kmsactivation.exe恶意模块，并创建任务计划进行持久化。释放激活工具和恶意模块。相关代码，如下图所示：释放激活工具和恶意模块代码为恶意模块创建任务计划进行持久化，每次开机的时候都会启动。相关代码，如下图所示：创建计划任务进行持久化根据系统版本来执行不同的激活工具。相关代码，如下图所示：根据系统版本的不同执行不同的激活工具在kmsactivation.exe模块中，首先从hxxp://qfxzq.tyd28.com/0406jh/info_online_mh.txt获取恶意配置信息，再根据恶意配置信息来执行特定的恶意行为，如：下载、执行任意文件，后台静默安装软件等。相关恶意配置信息，如下图所示：恶意配置信息根据恶意配置信息下载、执行任意文件。相关代码，如下图所示：根据恶意配置信息下载、执行任意文件该模块还会过滤指定城市，对指定城市以外的地方，额外安装一些软件（腾讯电脑管家），获取用户当前所在城市。相关代码，如下图所示：过滤用户所在城市根据恶意配置信息，后台静默推广软件，并对指定城市以外的地方，额外安装一些软件（腾讯电脑管家）。相关代码，如下图所示：后台静默推广软件二附录C&C服务器列表：病毒HASH：HUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。求分享求收藏求点击求在看