技术文章

在当今信息高速流通、网络技术迅猛发展的时代，恶意软件的传播方式发生了翻天覆地的变化，它们不再仅仅依赖于攻击者主动发起的攻击，还可通过运用社交工程来进行传播，使发布者毫无察觉地成为病毒传播源头，感染者也常在不知情的情况下继续执行感染文件或传播恶意链接，从而助长病毒的蔓延。本文将对这种隐性传播现象及其感染与传播模式做出分析，期望有助于您更好地了解潜在风险。

随着互联网的发展，各类软件的功能日益强大，市面上出现了越来越多的付费软件或提供高级功能的订阅服务。为了进行教育与学习、或是节省成本以获取软件的高级功能，寻求并使用未经官方授权的破解软件或许已经成为一种常见现象。虽然破解版软件可以暂时满足使用的需求，但同时也可能会带来病毒感染等风险，轻则影响计算机性能、重则威胁自身信息安全和财产安全。

自从绒绒与大家分享病毒分析报告以来，评论区的相关讨论不仅让绒绒成就感满满，也下定决心（暗暗攥拳）要和大家分享更多有意义的文章。总览评论后，绒绒发现大家不仅对病毒本身充满探究精神，也对工程师是通过什么方式对病毒进行分析以及在分析过程中使用什么工具感到好奇。那么今天就不讲病毒！让我们讲一讲如何“研究”病毒——特别是追踪技术在病毒分析中的应用。

​Go 语言凭借其高效的并发处理能力和强大的标准库支持等特点，在开发效率和性能上具有一定的优势，备受软件开发者青睐。然而，这种优势也吸引了部分初学者以及勒索组织的目光，他们利用 Go 语言编写勒索病毒并进行传播，催生了各种基于 Go 语言的勒索实验样本和勒索组织样本。 近期，火绒工程师在日常关注安全动态时发现一个基于 Go 语言的勒索样本。分析发现，该样本会利用 AES 进行数据加密，并将加密秘钥发送至 youtube.com ，导致被加密文件完全无法恢复。推测该样本属于基于 Go 语言勒索样本中的实验样本。随后对基于 Go 语言的勒索样本进行调查分析发现，实验样本在该类勒索样本中较为常见，而勒索组织样本除了勒索步骤比较完善，使用的技术手段与实验样本仍有一定相似。火绒安全产品可对上述勒索木马进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。

在当今网络环境下，许多人都有通过搜索引擎下载应用程序的习惯，虽然这种方式简单又迅速，但这也可能被不法分子所利用，通过设置钓鱼网站来欺骗用户。这些钓鱼网站可能会通过各种方式吸引用户点击，从而进行病毒的传播，危害个人或企业的信息安全。 我们期望本篇文章有助于帮助您提高网络安全防范意识，通过官方正规的渠道下载软件。

近期，火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马，火绒安全工程师第一时间提取样本进行分析。分析发现样本具有检测并利用多种系统特性实现持久化与绕过沙箱的行为，通过释放白加黑文件，利用 svchost 内存加载后门模块实现远程控制。目前，火绒安全产品能够有效拦截和查杀上述病毒，火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力，能够及时识别和阻止恶意代码在内存中的执行，从而保护用户系统的安全，欢迎广大用户下载安装火绒安全6.0产品并及时更新病毒库以提高防御能力。

近期，火绒安全实验室在某论坛中发现一名用户发帖上传了被篡改过的火绒剑程序，该事件详细经过可参考《情况说明 | 非官方火绒剑存在后门风险，请用户谨慎下载使用-公司资讯-火绒安全》，在此不做赘述，本文为该样本的内容分析。经火绒工程师确认，该“盗版火绒剑”中的 uactmon.dll 文件被篡改，在其 DLL 加载时会解密出恶意 DLL 数据并加载执行，最后实现后门操作。目前，火绒安全产品可对上述被篡改的病毒样本进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。同时我们也希望广大用户在官方渠道下载软件，避免企业或个人信息及财产存在被泄露的风险。

近期，火绒工程师在日常关注安全动态时发现，Lumma Stealer 木马家族会利用 Go 语言编写注入器，通过 AES 解密创建傀儡进程并注入恶意代码窃取用户信息，其中恶意代码经过控制流混淆、常量加密以及手动调用系统调用号等方式使代码复杂度提高，更难以破解。分析发现该样本会利用 Steam 账户名称、动态获取远程服务器域名，根据下载的 JSON 配置窃取相应应用程序数据，例如浏览器数据等，此外还会窃取邮箱、Steam、Discord、TXT 文件等数据。目前，火绒安全产品可对上述窃密木马进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。

近期，火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马，火绒安全工程师第一时间提取样本进行分析。分析中发现样本具有检测沙箱和杀毒软件的行为，还会下载 TrueSightKiller 驱动关闭杀软，同时下载创建计划任务的 Shellcode 实现持久化，最终下载后门模块实现远程控制。目前，火绒安全产品可对上述病毒进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。

近期，火绒工程师在日常关注安全动态时发现FormBook木马家族存在利用多种加载器混淆处理进行免杀的行为，因此火绒工程师对其木马家族多种样本进行横向分析，分析发现该木马家族多个样本的主要功能几乎没有变化，只有加载器不断变化，且加载器核心机制仍然由读取、解密和注入三个步骤组成。其中注入的FormBook代码通过自修改代码（SMC）和多次注入以及通过天堂之门实现免杀。火绒安全产品可对上述窃密木马进行拦截查杀。

近期，火绒威胁情报中心监测到伪装成有道翻译安装包的样本存在恶意行为，火绒安全工程师第一时间提取样本进行分析。分析中发现该样本使用白加黑、反射加载 DLL 进行免杀，最终下载后门代码实现对受害者主机的控制。同时，它还会绕过 UAC 实现无弹窗执行，并存在创建服务设置自启动进行持久化驻留等行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。

近期，火绒威胁情报中心在日常巡视中发现一恶意 GitHub 存储仓库存在病毒风险行为，火绒安全工程师第一时间提取样本进行分析。分析中发现该样本通过混淆 JavaScript 作为执行体，先下载 PDF 文档用以迷惑用户，接着下载另一个带有成熟后门功能的样本混淆 JavaScript 执行控制功能。结合相关威胁情报和攻击者的 TTP(Tactics, techniques, and procedures)，可以确认利用的是名为 WSHRAT 的成熟 JavaScript 后门，并基于钓鱼邮件进行分发。目前，火绒安全产品可对上述病毒进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。