注意：激活工具传播HPAccess病毒 火绒推出专杀工具

abcdefghihijk

概述

近日，火绒威胁情报系统显示，HPAccess病毒非常活跃，感染量达数万台。经火绒工程师溯源分析发现，该病毒主要通过带毒激活工具（暴风激活，小马激活， KMS等）释放的Rootkit病毒下载传播，操纵用户计算机对其他网络地址进行DDoS（distributed denial-of-service）攻击等。对于上述激活工具下放的病毒以及关联的恶意网址，火绒均能拦截查杀。

值得注意的是，该激活工具还会诱导用户关闭杀软，从而导致病毒成功释放、加载Rootkit病毒。Rootkit病毒会在内核层保护自身模块，对抗杀软的查杀。火绒用户可以使用火绒专杀工具（https://down5.huorong.cn/hrkill-1.0.0.54.exe）配合火绒安全软件全盘扫描彻底清除病毒威胁。

代码分析

sssApp.exe模块主要启动Nidisplay.exe进行DDoS攻击。该模块运行后，首先会向C&C服务器发送上线消息，之后C&C服务器可以通过远程通讯的方式控制Nidisplay.exe模块发起或结束DDoS攻击。相关主要代码，如下图所示：

sssApp.exe主要代码逻辑

Nidisplay.exe模块为DDoS模块， 可以通过不同的方式（GET, POST, TCP）发送DDoS攻击，并且可以使用不同的UA头进行攻击。

UA头列表

TCP DDoS部分代码逻辑

https://bbs.huorong.cn/thread-80808-1-1.html

小77

感谢分享 支持一下