退出长者模式
病毒预报 第八百四十期
发布日期:2022-02-23

国家计算机病毒应急处理中心通过对互联网的监测,发现一款伪装成Windows系统帮助文件的远控木马,攻击者通过远控木马下发挖矿程序到被害主机,占用主机资源进行挖矿。服务DLL文件Remote.hlp是一个伪装成Windows帮助文件的后门程序,仅从字符串分析,就能够得到许多功能信息,而此次事件捕获的域名所关联的后门程序中,均存在一条“TheCodeMadeByZPCCZQ”标识字符串。由此可以推断,这些后门程序均来源于同一款远控生成器,并且通过对后门dll的字符串分析,其中有很多中文描述的控制操作,所以可以确认是一款汉化的远控程序。除了持久化驻留的后门程序,在被害主机中存在通过后门投放的挖矿程序,伪装成银行图标,占用主机资源进行挖矿。该样本中服务名称为.Net CLR,研究员排查过程中发现有过“Ias”、“FastUserSwitchingCompatibilty”,这些服务指向的DLL程序都是母体释放的Remote.hlp。建议用户不要安装未知来源的软件,在正规网站下载软件。同时提高安全意识,及时为操作系统、常用软件等打好补丁,以免受到该恶意程序的危害。


 

主办单位:常州市公安局

地址:江苏省常州市龙锦路1588号

电话:0519-86620200   网站地图

技术支持电话:0519-85685023(工作日9:00-17:00)

网站支持IPV6   推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器

苏公网安备32041102000483号

  网站标识码:3204000065

苏ICP备05003616号