查看: 662|回复: 2
收起左侧

[讨论] 情况说明 | 非官方火绒剑存在后门风险,请用户谨慎下载使用

[复制链接]
火绒工程师
发表于 2024-10-29 19:54:02 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2024-10-29 19:54 编辑

火绒安全软件自发布以来,软件中的小工具因其实用性而受到用户的广泛关注和喜爱,但各种“独立小工具”也因此层出不穷。近日,我们关注到在某论坛出现了一款未经授权的“火绒剑”独立版本。工程师下载确认后,发现该软件原为火绒安全个人版5.0软件中的“火绒剑”工具,被非法提取后,遭到不法分子的恶意篡改并植入病毒,最终分享至终端用户,会对使用者的终端安全构成严重威胁。
经过沟通,相关论坛已对该分享贴进行删除处理。火绒安全软件今日升级病毒库后将支持查杀该样本,请广大用户及时更新病毒库。
相关论坛分享页面
火绒安全软件6.0查杀截图

在此,火绒安全团队严正声明:火绒安全官方并未推出或授权任何独立版工具。并且所有非官方渠道发布的软件,其安全性和可靠性均无法得到保证。我们强烈建议各位用户通过官方途径下载软件,请勿轻信第三方渠道,以免对您的财产和信息造成不可挽回的损失。

针对此类恶意篡改的行为,火绒安全团队保留追究法律责任的权利。我们将采取一切必要的法律措施,以保护我们的用户和公司的合法权益不受侵害。在必要时,我们会考虑报警,以杜绝此类行为的发生。

为了您的终端安全,我们建议您停止使用任何非官方版本的火绒安全相关软件,并通过火绒官网(https://www.huorong.cn/)下载使用官方版本,感谢您的支持。


以下为样本的流程图及简要说明(后续将会发布详细分析报告):
流程图

通过对比发现,被篡改文件没有数字签名。
数字签名对比

当用户下载安装该样本后,被篡改的 uactmon.dll 病毒文件会被 HRSword.exe 程序加载。该 dll 文件在入口函数 dllmain_dispatch 中调用恶意函数,并通过解密函数解密出加载器代码。
解密加载器代码

随后,加载器解密出恶意 DLL 数据,获取 DLL 并调用 DLL 入口点函数,从而实现加载后门模块。
加载器函数

在后门模块中,该样本向20.2.66.39 发送 ICMP 报文,并根据返回值来执行相应任务。初步分析任务中包括执行程序、写文件以及类似于文件管理等代码。
根据返回值执行相应代码

样本HASH:


火绒安全
2024年10月29日

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
DisaPDB + 1
vm001 + 1 赞一个!

查看全部评分

我就看看不说话
发表于 2024-10-29 21:47:13 | 显示全部楼层
省流:火绒查杀火绒剑
wwwab
发表于 2024-10-30 18:17:32 | 显示全部楼层
本帖最后由 wwwab 于 2024-10-30 18:20 编辑

不会省流就不要省,你这有点断章取义了

样本还是老套路,白加黑 (dllhijack),替换dll,导致原先的可执行文件加载并执行了被篡改的dll内的恶意代码,查杀的是被修改的恶意dll模块
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:41 , Processed in 0.128740 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表