释放双眼,带上耳机,听听看~!
近日,火绒威胁情报系统发现通过微信群以娱乐热点为伪装来大肆传播。该病毒触发后会静默安装RdViewer远控软件,使黑客可以操控受害者终端并执行恶意行为。据火绒威胁情报系统显示,火绒已成功拦截了数千台终端中的该病毒。如果您使用火绒安全产品,无需担心,它可以拦截和查杀该病毒。而那些已经感染的用户可以使用火绒的【全盘查杀】功能来进行彻底检查并重启电脑。保护您的电脑安全,从现在开始!
一、首先需要详细分析病毒文件“景甜张继科聊天记录 曝光.exe”的运行情况。运行后
该病毒会将RdViewer远控软件释放到目录C:\Program Files\FileName下,这是火绒剑检测到的行为。
如下图所示:
通过行为监控,火绒剑发现该程序的签名信息为RdViewer远控软件,并且是通过RdClient.exe实现的。
如下图所示:
通过执行不断网安装.vbs脚本来静默安装RdViewer,
相关脚本,如下图所示:
该病毒采取了持久化操作,通过不断网安装.vbs来添加d_service。
当计算机启动时,RdViewer会自动静默启动,并且相关服务信息以下图形式呈现。
如下图所示:
黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、
监控麦克风、摄像头等恶意功能,RdViewer管理端界面,
如下图所示:
RdViewer管理端界面
二、附录HASH:
