您当前的位置:首页 >> 平安资讯 >> 警方提示 >> 内容
病毒预报 第八百四十期
发布日期:2022-02-23   来源:公安局 浏览次数:  字号:〖
 

国家计算机病毒应急处理中心通过对互联网的监测,发现一款伪装成Windows系统帮助文件的远控木马,攻击者通过远控木马下发挖矿程序到被害主机,占用主机资源进行挖矿。服务DLL文件Remote.hlp是一个伪装成Windows帮助文件的后门程序,仅从字符串分析,就能够得到许多功能信息,而此次事件捕获的域名所关联的后门程序中,均存在一条“TheCodeMadeByZPCCZQ”标识字符串。由此可以推断,这些后门程序均来源于同一款远控生成器,并且通过对后门dll的字符串分析,其中有很多中文描述的控制操作,所以可以确认是一款汉化的远控程序。除了持久化驻留的后门程序,在被害主机中存在通过后门投放的挖矿程序,伪装成银行图标,占用主机资源进行挖矿。该样本中服务名称为.Net CLR,研究员排查过程中发现有过“Ias”、“FastUserSwitchingCompatibilty”,这些服务指向的DLL程序都是母体释放的Remote.hlp。建议用户不要安装未知来源的软件,在正规网站下载软件。同时提高安全意识,及时为操作系统、常用软件等打好补丁,以免受到该恶意程序的危害。


 
 
主办单位:常州市公安局 苏040200000028
地址:江苏省常州市龙锦路1588号 邮编:213022 联系电话:0519-86620200  网站地图
苏公网安备32041102000483号  网站标识码:3204000065  苏ICP备05003616号