近日,火绒工程师发现一组点击器病毒,正在全网大面积传播,目前单日感染终端数量超过数万台,该病毒可随时占用用户网络资源以及CPU资源,执行流量暗刷等恶意行为。火绒紧急提醒广大用户做好防范准备。 根据火绒工程师分析,该病毒运行后,会下载执行无界面浏览器组件和点击器木马,然后在后台暗刷流量,攫取利益。此外,不排除病毒后续还会向用户电脑中下发其它恶意模块的可能。
火绒用户无需担心,火绒产品(个人版、企业版)已对该病毒及其相关服务器地址进行拦截查杀。非火绒用户可通过下载火绒软件,并开启【文件实时监控】、【恶意网址拦截】等功能,及时阻止病毒入侵。以下图中病毒进程树为例,dT3S.exe为病毒下载器进程,该程序执行后会从服务器获取无界面浏览器释放器(qt512.exe)和点击器木马(svsebc.exe)到用户本地执行。dT3S.exe模块主要功能为下载执行。截至到预警报告发布前,该病毒只下载暗刷流量的相关病毒模块,但并不排除后续会下发其它病毒模块的可能性。病毒模块名称及对应的服务器地址,如下图所示:
上一篇:火绒数据:从流氓到勒索8成企业网络携带5类以上病毒
下一篇:全球最大僵尸网络自毁火绒起底Emotet与安全软件对抗全过程 | 
