近期,國產殺毒軟件火絨截獲了名為“DcRat”的後門病毒新變種,嚴重威脅用戶的隱私安全。
據悉,該病毒正通過偽裝成正常文件名的方式在微信群中大肆傳播。並且,該病毒入侵電腦後,存在收集用戶隱私信息、遠控用戶電腦等危害。
據介紹,黑客團伙將病毒偽裝成的各類文件(文檔、圖片、視頻等)發送給微信群聊中的用戶,並誘導用戶打開,隨後實施收集信息等惡意行為。
病毒偽裝的文件名如下:
該病毒運行後,不僅會竊取用戶電腦中文件,還會收集用戶信息,如用戶名、操作系統版本,記錄鍵盤、麥克風和攝像頭數據。
需要注意的是,這種病毒還能遠程控制受害者終端執行任意操作。
以下為病毒執行的具體流程:
火絨工程師發現,該病毒啟動後,會從C&C服務器下載執行shellcode,在shellcode中會內存加載.NET後門模塊來躲避殺毒軟件的查殺。
為了防止自身暴露,該病毒還會添加註冊表和計劃任務來進行持久化。同時與安全軟件做對抗,如通過加載執行遠程惡意模塊對抗安全軟件查殺、結束安全軟件進程等,行為十分惡劣。
不過,廣大用戶也無需驚慌,對於微信等聊天軟件群聊中發送的陌生文件,最好先查殺再使用。
編輯:崔崔
(來源:火絨安全實驗室)