查看: 2550|回复: 10
收起左侧

[技术原创] 用户请注意!腾讯“企鹅FM”软件官方下载链接携带病毒

[复制链接]
火绒工程师
发表于 2020-7-17 18:57:10 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2020-7-18 01:25 编辑

近日,有用户反馈下载腾讯旗下软件“企业FM无障碍(PC版)”时被火绒报毒,火绒工程师紧急查看后发现,该软件确实携带恶意代码,并非火绒误报,我们也紧急联系腾讯官方告知此事,并提供相关分析供排查威胁,火绒后续也会发布针对该病毒的详细分析。此外,我们建议广大用户暂时不要下载或使用该软件,等待官方公布解决方案,避免遭遇信息泄漏等安全风险。

根据火绒工程师分析发现,通过“企鹅FM”官网下载“无障碍”版本时,即会感染该病毒。


附【简要分析】
企鹅FM(fm.qq.com)软件官网中“下载无障碍版”点击后会跳转到链接:hxxps://qzs.qzone.qq.com/qzone/qzact/act/external/fm_static/fm_pc/index.html,在该页面中再次点击“下载无障碍版”后会下载病毒文件。相关页面情况与页面代码,如下图所示:

企鹅FM官网页面

点击“下载无障碍版“后跳转到的页面

病毒运行后进程树信息,如下图所示:


病毒运行后会在本地释放更多病毒文件执行,并禁用Windows Defender。病毒相关代码,如下图所示:

病毒代码

病毒相关数据,如下图所示:

病毒数据


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zay365
头像被屏蔽
发表于 2020-7-17 19:02:21 | 显示全部楼层
这是网页被入侵挂马了吗
dsb2466
头像被屏蔽
发表于 2020-7-17 19:04:41 | 显示全部楼层
HR赛高(。^▽^)
babaj
发表于 2020-7-17 19:13:57 | 显示全部楼层
话说这个咋是易语言图标,火绒反应够快的啊
zay365
头像被屏蔽
发表于 2020-7-17 19:18:36 | 显示全部楼层
现在下载链接已撤下了
下载链接的服务器竟然是运行在腾讯云上的
WAR314159
发表于 2020-7-17 19:42:46 | 显示全部楼层
ESET杀,样本区已经有了
kinerarten
发表于 2020-7-17 20:46:08 | 显示全部楼层
老猫烧须
生命在于运动
发表于 2020-7-17 22:35:48 | 显示全部楼层
给火绒一个点赞威武霸气
snowflake
发表于 2020-8-2 18:04:48 | 显示全部楼层
看到易语言的图标,我不厚道地笑了。
aaaaoooo
头像被屏蔽
发表于 2020-8-5 15:26:22 | 显示全部楼层
我安装QQ时顺带安装了QQ浏览器和QQ游戏什么的,结果被WD报毒了~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:24 , Processed in 0.190482 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表