首页
社区
课程
招聘
[原创]吃瓜要当心!黑客利用娱乐热点大肆传播病毒
发表于: 2023-4-21 19:16 1148

[原创]吃瓜要当心!黑客利用娱乐热点大肆传播病毒

2023-4-21 19:16
1148

近日,火绒威胁情报系统发现RdPack病毒正在快速传播,该病毒将文件名伪装成娱乐热点(景甜 张继科聊天记录 曝光.exe)的方式在微信群中大肆传播,经安全人员分析发现,运行病毒后会释放并静默安装RdViewer远控软件,黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能。

 

据火绒威胁情报系统显示,一天内火绒已帮助数千台终端成功拦截该病毒。火绒用户无需担心,火绒安全产品可拦截、查杀该病毒。已中毒的用户,可使用火绒【全盘查杀】并重启电脑即可彻底查杀该病毒。

查杀图

一、详细分析

病毒文件“景甜 张继科聊天记录 曝光.exe”运行之后,会将RdViewer远控软件释放到C:\Program Files\FileName目录下,火绒剑监控到的行为,如下图所示:

火绒剑行为监控
通过RdClient.exe远控签名信息,可知该程序为RdViewer远控软件,如下图所示:

通过执行不断网安装.vbs脚本来静默安装RdViewer,相关脚本,如下图所示:

不断网安装.vbs
并添加系统服务来进行持久化操作,服务名为Rd_service,当计算机启动时RdViewer会静默启动,相关服务信息,如下图所示:

黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能,RdViewer管理端界面,如下图所示:

RdViewer管理端界面

二、附录

HASH:


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (7)
雪    币: 940
活跃值: (9936)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
2
签名都知道那个公司了.是不是可以给警察配合抓一波了. 还是说签名被盗用了.
2023-4-21 19:31
0
雪    币: 7346
活跃值: (3427)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
TkBinary 签名都知道那个公司了.是不是可以给警察配合抓一波了. 还是说签名被盗用了.
RdViewer是正规软件吧
2023-4-22 07:47
1
雪    币: 940
活跃值: (9936)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
4
breaklink RdViewer是正规软件吧
投放方式是病毒行为.
2023-4-23 09:50
0
雪    币: 2325
活跃值: (2304)
能力值: ( LV6,RANK:89 )
在线值:
发帖
回帖
粉丝
5
这特么是rdviewer的签名 又不是病毒签了济南快安
2023-4-23 11:06
0
雪    币: 940
活跃值: (9936)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
6
rd被利用了
2023-4-23 13:18
0
雪    币: 52
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
据说也是远控同行恶意行为
2023-4-25 13:08
0
雪    币: 246
活跃值: (4497)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
8
不如上海车展女销售 马院院长
2023-4-25 17:46
0
游客
登录 | 注册 方可回帖
返回
//