火绒报毒，是误报么？

www-tekeze

cect258 发表于 2018-11-3 00:11
嗯 ，在等几天看看其他的安全软件有什么反应。

嗯，睡觉，也@了几家的官人，看看怎么说。。   但明天是周末，估计得等下周一了。

kim545

Avira miss已上报

歌德塔大蜘蛛

激活工具带毒感染量近60万 北京等四城市用户不被攻击
http://bbs.huorong.cn/thread-46656-1-1.html

360主动防御

www-tekeze 发表于 2018-11-2 22:21
软件管家的下载源也应该是云骑士的官网，但360为何不报，是火绒误报还是骑士给了360点好处费。。
...

我们核实一下

www-tekeze

歌德塔大蜘蛛 发表于 2018-11-3 09:35
激活工具带毒感染量近60万 北京等四城市用户不被攻击
http://bbs.huorong.cn/thread-46656-1-1.html

多谢提醒！ RQ没了，呆会送上。。   摘录下：

四、      延伸样本分析

火绒近期发现，利用激活工具和系统盘进行传播的病毒和流氓软件有逐渐增多趋势，此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。此前在火绒发布的报告《“小马激活”病毒新变种分析报告》和《盗版用户面临的“APT攻击”风险》中，也对利用这两种方式进行传播的病毒样本进行过详细分析。除了上述样本外，火绒近期还截获了另一款利用系统盘途径进行传播流氓软件，该流氓软件会利用一键装机工具下载带有流氓软件系统镜像的方式进行传播。

现象

本次火绒截获到的流氓软件名为“主页守护神”，会通过一款名为“云骑士装机大师”的一键装机工具下载带有流氓软件系统镜像，之后在本地对系统镜像进行安装从而达到传播目的。流氓软件运行后，除了首页锁定功能外还具有软件推送的功能，将来可能用于进行软件推广或者广告程序推广。经过火绒对“云骑士装机大师”软件的溯源分析，我们发现传播该流氓软件的一键装机工具数量众多。如下图所示：

www-tekeze

360主动防御 发表于 2018-11-3 10:16
我们核实一下

官人，如果火绒的播报情况属实，那众多的一键装机类工具，是不是应该从你们的软件管家里下架呢？？ 虽然装机后会推广卫士和腾管，有那么点点利益吧，但刚发布的12.0版卫士，可是“赋能于安全大脑” 哦。。  摘录：


上述装机工具在下载系统镜像时，会在同一服务器地址（hxxp://hsds.ruanjiandown.com）下载相同的gho文件至本地进行安装。在该系统镜像中，除了会预装流氓软件外，还会预装安全软件（360安全套装和QQ管家安全套装），由于这两款安全软件并不会检测该流氓软件，所以通过该装机工具安装系统的用户通常并不会知道系统已经被植入了流氓软件。“安全套装”选择窗口，如下图所示：

神算子

歌德塔大蜘蛛 发表于 2018-11-3 09:35
激活工具带毒感染量近60万 北京等四城市用户不被攻击
http://bbs.huorong.cn/thread-46656-1-1.html

如果只是主页被修改，问题不大，就怕被肉鸡了

神算子

www-tekeze 发表于 2018-11-3 10:47
官人，如果火绒的播报情况属实，那众多的一键装机类工具，是不是应该从你们的软件管家里下架呢？？ 虽然 ...

昨天你给的地址下载安装完以后，用360安全卫士扫描发现dns劫持，卡巴扫描安全，火绒扫描发现一个镜像文件劫持

神算子

www-tekeze 发表于 2018-11-3 10:39
多谢提醒！ RQ没了，呆会送上。。   摘录下：

四、      延伸样本分析火绒近期发现，利用激活工 ...

如果只是主页修改还不算什么，就怕被肉鸡了

www-tekeze

神算子 发表于 2018-11-3 11:18
昨天你给的地址下载安装完以后，用360安全卫士扫描发现dns劫持，卡巴扫描安全，火绒扫描发现一个镜像文件 ...

？？？ 你说的是“吻妻”的镜像安装包？用什么工具装的，微PE么？