技术文章

近日，火绒安全收到用户反馈，称在安装部分主流软件安装包时，被静默安装了金山毒霸软件，对此火绒安全工程师高度重视，通过分析3DM等下载站“安全下载”通道的软件安装包时，发现金山毒霸通过3DM等多家下载站的软件安装包，部署了一套隐蔽的推广安装框架，使在用户未被充分告知的情况下，静默完成金山毒霸及相关全家桶组件的全流程安装。

近期，火绒威胁情报中心监测到一类新型远控威胁攻击手段。该攻击与传统远控木马存在明显差异，可实现攻击链路全面“洗白”：该样本在攻击过程中综合使用了安装包伪装为WPS安装包进行投递、Inno Setup 多阶段解包、合法组件白利用、DLL 动态加载、服务与计划任务双重持久化以及隧道映射等多种技术手段。首先，攻击者将恶意样本伪装成 WPS 安装包，以正常软件安装流程作为掩护，降低用户警惕。随后，样本借助 Inno Setup 安装链分阶段释放 cloudflared_installer.tmp、CoreLogic.dll、cf.msi、Guard.dll、Windows.exe 等核心文件，并通过静默方式安装 cloudflared 合法组件，实现白利用免杀。完成文件落地后，样本通过 LoadLibraryW 与 GetProcAddress 显式调用 CoreLogic.dll!ExecuteSecureInstall，进一步创建服务和计划任务，形成稳定的持久化机制。其中，服务命令行会拼接 access tcp --url tcp://127.0.0.1:443 --hostname ... 等参数，以借助 cloudflared 建立远程 TCP 隧道；计划任务则分别通过 rundll32.exe Guard.dll,TyCV85iu 和 WindowsEvent.exe 完成组件拉起、守护执行与失败重试。综合来看，该样本通过将合法工具、系统组件和安装框架混合使用，显著增强了攻击链的隐蔽性、免杀能力和持续控制能力。目前，火绒安全产品已实现对该恶意样本的拦截与查杀。

近期，火绒威胁情报中心针对SeanPalia样本的分析发现，这是一款伪装为正常 Electron桌面程序运行的信息窃取木马。样本启动后，会通过main.js加载经过bytenode 编译的decrypted_payload.jsc，并以运行时恢复方式释放主payload。随后，程序会先结束抓包、调试和逆向分析工具，并批量关闭浏览器进程以释放数据库文件锁；之后通过系统性扫描浏览器、Discord、桌面钱包与浏览器钱包扩展等高价值目标，读取Login Data、Web Data、Cookies、History、Bookmarks、Local Storage/leveldb 等本地敏感数据，同时恢复Local State中的Chromium密钥并解密受保护的数据。

近期，火绒威胁情报中心监测发现，虚假的OpenClaw安装包正借助Github进行传播。该安装包本质为下载器，会依照云控下发的配置，下载并依次执行五类恶意程序，其中涵盖多种窃密木马、SOCKS5反向代理及下载器等恶意程序。其中，窃密木马可通过云控配置或样本内置逻辑，对“下载”“文档”目录以及Discord、Telegram、Steam等应用中的数据加以收集，并上传至远控服务器以实施窃取。在执行过程中，样本还会结合鼠标行为、用户名、分辨率等环境特征开展虚拟机或沙箱检测，以达成规避分析和免杀的目的。目前，火绒安全产品可对上述病毒进行拦截查杀。

近期，据火绒威胁情报中心监测，有大量用户感染DDos病毒。经溯源分析，传播源头指向一款通过抖音、淘宝等渠道推广的游戏盒子，用户在使用该类游戏盒子下载游戏工具或其他游戏内容时，会被捆绑投放DDos病毒。病毒落地后，攻击者可通过设置云控配置，远程控制受感染设备对其他Steam入库工具服务器以及任意目标网站发起DDos攻击，从而使该网站服务崩溃。目前，火绒安全产品可对上述病毒进行拦截查杀。

近期，火绒威胁情报系统监测到一款DDoS工具包作为恶意组件被下发至数千名终端用户。经火绒工程师分析，该工具包的源头是一个带有有效签名的恶意驱动z_driver，其通过注册内核回调实现自我保护，并经双重解密释放恶意DLL注入系统进程。随后，该工具包被下载至本地，用于进行DDoS攻击或刷量行为。火绒工程师发现，此组件自2025年2月起便已下发至终端用户，且仍在持续进行版本迭代，部分较新样本已为DDoS工具包添加注册表持久化功能，并已执行多次DDoS攻击和流量刷量行为，严重威胁终端与网络安全。

近日，火绒安全团队在日常威胁溯源工作中，发现银狐组织疑似针对黑灰产群体实施定向投毒行为。此次发现源于对某虚假软件中后门木马的溯源分析，在追踪其远控服务器域名（yunduans.com）时，发现该网站存在弱密码登录问题。成功登录后可发现该网站有短信接码、短信轰炸、爬虫、PS、TG营销、AI变声变脸、天眼查档、iPhone推广等功能模块。此类功能可应用于诈骗、骚扰等黑灰产范畴，且该平台账号密码的设置极为简易，故而初步判定该平台或许面向黑灰产群体，属于定向投毒的传播途径之一。

近期，火绒安全工程师在监测网络安全动态过程中，接到用户反馈软件反复报毒的异常情况。经溯源分析与技术研判，确认该问题源于用户从伪装为DS4Windows官方网站的钓鱼站点下载程序，进而导致主机被恶意部署ScreenConnect远程控制工具，遭受持续远程控制。病毒运营者通过该远控工具，向受害主机下发CMD、PowerShell等恶意指令，其中一条指令可诱导受害主机下载并执行C#编写的后门模块。攻击者可依托该后门持续下发任意恶意模块，对受害主机实施信息窃取、勒索攻击等一系列恶意行为。火绒安全产品已可对上述木马程序及相关恶意行为实现精准拦截与全面查杀，切实保障用户设备与数据安全。

近期，火绒安全团队接获多起用户反馈，称一款伪装为“Telegram汉化安装程序”的文件运行后出现异常。经火绒安全团队分析，该文件实为银狐钓鱼木马，其在运行时会释放AutoHotKey解释器和恶意脚本到公共目录，通过多阶段APC注入技术，将恶意代码注入系统进程WmiPrvSE.exe，下载执行Winos远控程序、监控用户键盘，该木马还使用计划任务实现持久化，持续监控用户行为并向攻击者传输数据，最终实现窃取用户账号密码、支付信息等敏感数据的目的，为用户财产及隐私带来极大安全风险。

近期，火绒安全工程师在日常安全监测中发现一款伪装为 Chrome 浏览器安装包的银狐后门病毒。该病毒运行后，通过标准库压缩包加载逻辑、加载恶意程序，结合计划任务与自启动项实现持久化驻留，持续威胁用户设备系统安全，存在隐私信息泄露、系统功能被破坏等风险。火绒安全产品可对上述木马进行拦截查杀，可有效保障用户设备安全。

近期，火绒安全团队接到用户反馈称，发现一个后台程序会占用大量CPU资源，随后，火绒安全团队溯源查明，该病毒源自BitTorrent索引站中的日本色情游戏，病毒作者采用“白加黑”手段，使游戏在启动时加载恶意模块。该恶意模块会依次检测虚拟机和逆向工具，最终通过创建傀儡进程注入挖矿木马以实施挖矿操作。该挖矿木马借助XMRig工具连接私人矿池，并通过计算RandomX哈希值来提供算力。在挖矿期间，该模块会长时间占用CPU性能和内存资源。若检测到任务管理器运行，挖矿行为将自动停止。目前，火绒安全产品可对上述木马进行拦截和查杀。

近期，火绒安全工程师监测发现一个危险陷阱：很多人想找的“IDM 破解程序”，其下载网站的显眼广告位里藏着恶意下载按钮，下载运行就会中招窃密病毒！这类病毒专门盯着你的重要信息—— 例如浏览器保存的密码、Steam 游戏账号、加密货币钱包、Github 账号，甚至会偷偷替换加密货币收款地址、获取邮箱验证码，把你的财产和隐私一键偷走，最终全部上传到窃密者的服务器。