查看: 6988|回复: 1
收起左侧

[转帖] 注意:激活工具传播HPAccess病毒 火绒推出专杀工具

[复制链接]
abcdefghihijk
发表于 2021-2-21 09:33:11 | 显示全部楼层 |阅读模式
概述
近日,火绒威胁情报系统显示,HPAccess病毒非常活跃,感染量达数万台。经火绒工程师溯源分析发现,该病毒主要通过带毒激活工具(暴风激活,小马激活, KMS等)释放的Rootkit病毒下载传播,操纵用户计算机对其他网络地址进行DDoS(distributed denial-of-service)攻击等。对于上述激活工具下放的病毒以及关联的恶意网址,火绒均能拦截查杀。


值得注意的是,该激活工具还会诱导用户关闭杀软,从而导致病毒成功释放、加载Rootkit病毒。Rootkit病毒会在内核层保护自身模块,对抗杀软的查杀。火绒用户可以使用火绒专杀工具(https://down5.huorong.cn/hrkill-1.0.0.54.exe)配合火绒安全软件全盘扫描彻底清除病毒威胁。

代码分析
sssApp.exe模块主要启动Nidisplay.exe进行DDoS攻击。该模块运行后,首先会向C&C服务器发送上线消息,之后C&C服务器可以通过远程通讯的方式控制Nidisplay.exe模块发起或结束DDoS攻击。相关主要代码,如下图所示:

sssApp.exe主要代码逻辑
Nidisplay.exe模块为DDoS模块, 可以通过不同的方式(GET, POST, TCP)发送DDoS攻击,并且可以使用不同的UA头进行攻击。

UA头列表

TCP DDoS部分代码逻辑


https://bbs.huorong.cn/thread-80808-1-1.html



小77
发表于 2021-2-22 10:06:32 | 显示全部楼层
感谢分享 支持一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:18 , Processed in 0.124201 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表