病毒增长

近期，火绒平安实验室依据用户反馈，发现一款名为“拉法日历”的病毒正在通过21压缩软件进行大肆流传，目前感化量达数万台。该病毒被植入终端后，会通过下载执行歹意驱动模块的形式，向用户施行捆绑装置、广告弹窗等歹意行为，严重威胁用户的信息安全。值得注意的是，该病毒仍在继续更新中，不排除后续下发新的歹意模块，增加新的歹意性能。目前，火绒安全软件已对该病毒进行拦挡查杀。 火绒查杀图 21压缩下载界面 火绒平安实验室剖析溯源发现，该病毒会伪装成一款名为“拉法日历”的程序。当用户运行该程序后，病毒会通过C&C服务器接管并执行病毒作者下发的各类指令，包含下载歹意模块，收集用户拜访的web站点信息，甚至具备歹意代理性能，可管制用户电脑作为流量跳板，使用户电脑成为黑客的代理服务器。同时，会在后盾静默装置大量软件，造成电脑卡顿，还会定期弹出广告窗口。 往年315晚会，央视曝光了下载站的诸多乱象，如强制弹出、捆绑装置、诱骗下载等。火绒平安实验室近年来也在继续对下载站乱象进行关注，并曾多次曝光过病毒借助下载站流传的事件，由此可见下载站也曾经成为病毒的次要流传渠道。 对此，火绒平安再次揭示宽广用户，下载软件请通过官方网站；如必须应用某些不明程序，能够提前开启安全软件进行扫描、查杀，或者返回火绒官方论坛求助，确保文件、程序平安后再运行，免得遭逢危险。

应急主机排查近日，咱们的平安技术人员安全检查过程中发现一组内网主机存在与内部互联网地址异样通信行为，以下是对其中一台主机挖矿应急处理剖析。 查看Windows工作管理器，发现该主机的CPU使用率为100%。结合实际业务状况初步判断该主机存在异样。 进一步查看使用率过高的过程，发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率，并且powershell.exe过程被大量调用。 应用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析，能够看到该文件所在执行地位的绝对路径，并且存在与内部互联网地址建设连贯。 发现恶意程序与内部互联网建设连贯的IP地址，应用通过微步在线溯源IP信息。 及时切断网络连接，进行网络隔离。 应用Autoruns工具查看该主机开机主动加载的所有程序，发现可疑工作。 关上“工作打算程序”，发现存在歹意定时工作。 定时工作：零碎每距离1小时执行一次歹意文件。 依据定时工作发现歹意文件绝对路径。以TXT格局关上l61xHyVQ歹意文件， 发现存在域名t.tr2q.com，应用微步在线搜寻剖析可知其为歹意网址。 挖矿病毒查杀装置安全软件火绒后，对挖矿木马程序进行扫描查杀。 修复办法1.革除机器中的文件病毒，能够用杀毒软件进行全盘扫描，次要革除文件病毒。局部病毒文件须要手动革除，清空C:\Windows\Temp下的临时文件以及回收站里的文件。 2.革除歹意定时工作，在管理工具 --> 打算工作程序 --> 打算工作程序库中删除可疑打算工作。 3.革除powershell和cmd的开机启动程序。