吃瓜要当心！黑客利用娱乐热点大肆传播病毒

Fail · 发表于 2023-4-22 14:33:28

近日，火绒威胁情报系统发现RdPack病毒正在快速传播，该病毒将文件名伪装成娱乐热点（景甜张继科聊天记录曝光.exe）的方式在微信群中大肆传播，经安全人员分析发现，运行病毒后会释放并静默安装RdViewer远控软件，黑客可通过RdViewer远控软件来操控受害者终端，并且执行恶意行为如：文件窃取、监控麦克风、摄像头等恶意功能。

据火绒威胁情报系统显示，一天内火绒已帮助数千台终端成功拦截该病毒。火绒用户无需担心，火绒安全产品可拦截、查杀该病毒。已中毒的用户，可使用火绒【全盘查杀】并重启电脑即可彻底查杀该病毒。

一、详细分析病毒文件“景甜张继科聊天记录曝光.exe”运行之后，会将RdViewer远控软件释放到C:\Program Files\FileName目录下，火绒剑监控到的行为，如下图所示：

火绒剑行为监控通过RdClient.exe远控签名信息，可知该程序为RdViewer远控软件，
如下图所示：

通过执行不断网安装.vbs脚本来静默安装RdViewer，相关脚本，如下图所示：

不断网安装.vbs
并添加系统服务来进行持久化操作，服务名为Rd_service，当计算机启动时RdViewer会静默启动，相关服务信息，如下图所示：

黑客可通过RdViewer远控软件来操控受害者终端，并且执行恶意行为如：文件窃取、监控麦克风、摄像头等恶意功能，RdViewer管理端界面，如下图所示：

RdViewer管理端界面二、附录HASH：

xf1213123 · 发表于 2023-4-22 14:57:21

确实是难得好帖啊，顶先

郝郝 · 发表于 2023-4-22 15:28:14

也就那些不怎么懂电脑的会上当，文档图标怎么带个exe后缀

阿白不爱吃菜 · 发表于 2023-4-22 17:03:48

郝郝发表于 2023-4-22 15:28
也就那些不怎么懂电脑的会上当，文档图标怎么带个exe后缀

嘿可技术你只发现了冰山一吊

金大大丨 · 发表于 2023-4-23 15:06:01

啥也不说了，感谢楼主分享哇！

2780194887 · 发表于 2023-7-18 19:58:48

郝郝发表于 2023-4-22 15:28
也就那些不怎么懂电脑的会上当，文档图标怎么带个exe后缀

可惜的，jpg和文档格式也能附加病毒，可惜火绒还查不出来

[聊天互动] 吃瓜要当心！黑客利用娱乐热点大肆传播病毒

点评

发主题奖

在线狂人

最佳新人

活跃会员

魅力勋章

夏日勋章

夜猫子

时光再现

新人进步

土豪勋章

最佳新人

灌水之王

发帖勋章

纪念勋章

原创先锋

金点子奖

论坛为家

搬砖达人

精品主题

论坛元老