病毒預(yù)報(bào)(TheCodeMadeByZPCCZQ)
發(fā)布時(shí)間:2022-04-22 來(lái)源: 作者:
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè),發(fā)現(xiàn)一款偽裝成Windows系統(tǒng)幫助文件的遠(yuǎn)控木馬,攻擊者通過(guò)遠(yuǎn)控木馬下發(fā)挖礦程序到被害主機(jī),占用主機(jī)資源進(jìn)行挖礦。服務(wù)DLL文件Remote.hlp是一個(gè)偽裝成Windows幫助文件的后門程序,僅從字符串分析,就能夠得到許多功能信息,而此次事件捕獲的域名所關(guān)聯(lián)的后門程序中,均存在一條“TheCodeMadeByZPCCZQ”標(biāo)識(shí)字符串。由此可以推斷,這些后門程序均來(lái)源于同一款遠(yuǎn)控生成器,并且通過(guò)對(duì)后門dll的字符串分析,其中有很多中文描述的控制操作,所以可以確認(rèn)是一款漢化的遠(yuǎn)控程序。除了持久化駐留的后門程序,在被害主機(jī)中存在通過(guò)后門投放的挖礦程序,偽裝成銀行圖標(biāo),占用主機(jī)資源進(jìn)行挖礦。該樣本中服務(wù)名稱為.Net CLR,研究員排查過(guò)程中發(fā)現(xiàn)有過(guò)“Ias”、“FastUserSwitchingCompatibilty”,這些服務(wù)指向的DLL程序都是母體釋放的Remote.hlp。 建議用戶不要安裝未知來(lái)源的軟件,在正規(guī)網(wǎng)站下載軟件。同時(shí)提高安全意識(shí),及時(shí)為操作系統(tǒng)、常用軟件等打好補(bǔ)丁,以免受到該惡意程序的危害。
Copyright © 四川工業(yè)科技學(xué)院.All Rights Reserved
地址:(羅江校區(qū))四川德陽(yáng)羅江大學(xué)路59號(hào) 郵編:618500 |(綿竹校區(qū))四川德陽(yáng)綿竹新市經(jīng)濟(jì)開(kāi)發(fā)區(qū) 郵編:618209
蜀ICP備15029753號(hào)-2 川公網(wǎng)安備 51062602510651號(hào)