前沿拓展:
360xp專版
不能升級,只能在網(wǎng)上搜索“360XP專版安全衛(wèi)士”在查詢出來的網(wǎng)頁中選擇一個打開,下載安裝即可
該**不具備任何激活功能,一旦**入侵用戶電腦,會立即劫持瀏覽器首頁,同時還會靜默安裝360安全瀏覽器和2345瀏覽器,進而牟利。另外,該**還會通過內(nèi)核級對抗手段躲避安全軟件查殺。
一、概述
“火絨產(chǎn)品(個人版、企業(yè)版)”最新版即可查殺該**,建議近期訪問過該網(wǎng)站下載軟件的用戶,盡快使用”火絨產(chǎn)品”對電腦進行掃描查殺。
二、樣本分析
該**會將自身偽裝成系統(tǒng)激活工具,并通過自己搭建的激活工具下載站點進行傳播。與以往的所見到的同類樣本不同,該**除了會執(zhí)行**行為外,不具有任何激活功能。**下載站點,如下圖所示:
**下載站點
如上圖所示,該頁面中的激活工具下載鏈接眾多。但是通過測試,我們發(fā)現(xiàn)在用戶點擊下載后最終跳轉(zhuǎn)到的下載地址均為hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用戶通過任一下載鏈接下載到的均為同一**樣本。該**樣本為AutoIt安裝包,通過**腳本邏輯運行**文件及靜默軟件安裝包。**腳本,如下圖所示:
**AutoIt腳本
被該**推廣的軟件包括:360安全瀏覽器和2345瀏覽器。被推廣的軟件安裝包文件信息,如下圖所示:
360瀏覽器安裝包文件信息
2345瀏覽器安裝包
**在推廣軟件的同時還會釋放Rootkit**劫持瀏覽器首頁,驅(qū)動文件名為隨機名且沒有擴展名,驅(qū)動文件還會通過內(nèi)核級對抗手段躲避安全軟件查殺。Rootkit**文件,如下圖所示:
**文件
該**被加載后會強行劫持用戶首頁為2345網(wǎng)址導航(hxxp://www.iw121.com),被劫持后的首頁情況,如下圖所示:
被劫持后的瀏覽器首頁
綜上,火絨建議廣大用戶使用正版**作系統(tǒng),在安裝系統(tǒng)后優(yōu)先安裝安全軟件,從而避免感染此類**。
三、附錄
文中涉及樣本SHA256:
拓展知識:
360xp專版
只是WIN XP不再提供維護,
建議安裝win7或者win8
硬盤安裝win7的圖文教程:http://jingyan.baidu.com/article/020278118d7fe31bcd9ce55c.html
硬盤安裝win8的圖文教程:http://jingyan.baidu.com/article/cbcede07cfe1ef02f50b4d63.html
360xp專版
不升級就下載360。不更新xp,7和8繼續(xù)提供更新
360xp專版
http://windows.microsoft.com/zh-CN/windows/products/lifecycle?T1=winxp請你自己看Windows生命周期說明書!
360xp專版
只是對xp不提供保護了,7,8,8.1這些會繼續(xù)提供保護的,xp要退役了,不管他了
360xp專版
后來難以理解暴露發(fā)過去正在幾乎他
原創(chuàng)文章,作者:九賢生活小編,如若轉(zhuǎn)載,請注明出處:http:///55996.html