国内:麻辣香锅病毒通过激活工具再次爆发,收集系统蓝屏日志以提高兼容性?
.最近,羊绒安全实验室监测到间谍锅病毒又有爆发趋势。目前,许多用户被有毒的激活工具和系统劫持。
目前,溯源分析显示,麻辣香锅病毒主要通过风暴激活、小马激活、KMS激活等多种激活工具传播。
一些集成病毒的垃圾系统下载站在某些搜索引擎上付费推广,用户在搜索系统名称时会被引导到垃圾站。
一些集成病毒的垃圾系统下载站在某些搜索引擎上付费推广,用户在搜索系统名称时会被引导到垃圾站。
选择进程,找到“Dvupdate.exe”和“DumpUp.exe”两个进程,然后右键单击文件位置将其打开。文件夹名称为“mlxg_km”。(它确定病毒的位置,隐藏病毒文件,但不隐藏文件夹。)。
然后重启打开浏览器,你就会发现没有无耻的劫持!
也就是说,我启动了病毒携带软件,病毒发生在我的电脑里。我在windows7环境中运行,看不到软件本身。
我改变了环境,PE系统,不放过软件。找到目录-删除。
从上面的激活工具官网可以看到,病毒制作者在欺骗用户进行安装之前就退出了安全软件。在此,Velvet工程师警告用户不要轻易卸载安全软件,而是要小心使用灰色软件,如激活工具。如果需要,可以使用安全软件进行扫描并将其杀死,以确保安全。
进入今年以来,“麻辣香锅”病毒在网上广泛传播。“麻辣香锅”病毒的名字是因为初始版本的病毒模块所在的目录是“Mlxg_km”。病毒通过激活小马、风暴、KMS等激活工具传播。用户中毒后,主页将显示病毒制作者预先设置的跳转链接(此链接为HXXP3360//SG?dhtz111.top表示任意数字,链接可能会随着病毒更新而发生变化。例如:hxxp://hl?gndh111.top).另外,病毒还具有删除安全软件进程的回调和禁止加载浏览器主页模块的功能。此外,还可以通过本地升级程序持续更新。更有趣的是,病毒为了稳定“占领”用户的电脑,会收集用户的本地蓝屏dmp文件,发现病毒带来的潜在蓝屏问题。在病毒下载页面上,页面文字恶意引导用户“下载激活前请务必退出360、腾讯管家、windows10防护等杀毒软件”,然后使用安全软件感染病毒的激活工具的下载页面如下图所示。
麻辣锅的病毒母体是“二次打包”后的KMS自动网络启动工具的软件包程序。程序运行后,将根据该安装脚本发布以下病毒模块:病毒结构图:
DvLayout.exe模块的主要功能是将主程序发布的KMDF_LOOK.sys和KMDF_Protect.sys重命名为随机名称,然后作为系统服务注册并启动。下图显示了与重命名KMDF_LOOK.sys和KMDF_Protect.sys相关的代码。