腾讯电脑管家:破解版Office远程控制木马 试图窃取用户隐私
用户反馈电脑上会自动弹出最热搜的广告弹出窗口,关闭后不久就会弹出。即使删除了广告流程文件,也会频繁发布。腾讯电脑管家分析发现,弹出广告是一个名字mini.lohaslady.exe广告弹窗木马历程由独狼木马家族传播发布。 很多用户反馈电脑上会自动弹出最热搜的广告弹出窗口,关闭后不久就会弹出。即使删除了广告流程文件,也会频繁发布。腾讯电脑管家发现,弹出广告是一个名字mini.lohaslady.exe木马的广告弹窗历程由独狼木马家族传播和释放。独狼木马家族是Rootkit腾讯电脑管家多次披露病毒,至今仍非常活跃。 
最热搜的广告弹窗
图片软件遭受供应链攻击 感染病毒被打包进软件包
独狼木马的主要功效是Ring0层实现自我珍爱和启动,注入应用层后,根据设置文件下载更多木马文件并执行。如果注入exprorer历程,在appdata\local\temp在目录中设置随机名文件夹,并根据文件设置文件desktop.ini下载多个木马文件。
现在,独狼Rootkit下载的木马设置文件主要是广告弹窗木马和盗号木马,其中mini.lohaslady.exe就是最热搜广告弹窗木马。
除了下载和运行广告弹出窗口和盗号木马外,独狼病毒家族还将通过锁定多个浏览器主页获利。主页上锁定的信息正在设置文件browul设置字段,不同的浏览器可以设置为锁定不同主页。360se ,360chrome锁定主页为3603.kuaify.com,IE、QQ锁定浏览器ie3.kuaify.com,2345等其他锁定浏览器qt3.kuaify.com(最终会跳转到推广id为23024-00982345网站导航首页)
中毒电脑主页被锁定推广ID 的网站导航站独狼木马家族的传播渠道主要是插件、破解激活工具、盗版ghost系统,Rootkit病毒具有很强的自我珍惜和匹配能力,包括防止主流杀软驱动加载和阻断互联网。计算机管家多次分析披露了独狼木马家族,可参考以下链接。
匹敌杀软 用户可以使用计算机管家的软件弹出窗口来阻挡各种广告弹出框,打开工具箱中的软件弹出窗口,选择自定义截图来阻挡。
用管家的软件弹窗挡住广告弹窗 平安建议
1.建议用户无需破解激活工具,各种破解激活工具已成为病毒传播的重要渠道。2.打开杀毒软件的实时珍毒软件报警,应直接删除该工具,不再使用。
3.如果不幸中招,腾讯电脑管家可以用来查杀病毒。
IOC:
MD5:
b5b5f51c2514fc1794a50ac577e22f54
dfda36870451e0290594156c5a9df015
4eee1d0245c5bf6e896c9283b7ff4adc
8464e5f5dea679ba95cfa6d06a0fcaa5
665b8ef2416796932fd152d9a0dac611
525c058fb55f5437e875bc4a89f36844
dfda36870451e0290594156c5a9df015
a0d6a1065fa6e3199e95d36677f922ff
998a3a49362ca4e16668d0c88212bc79
URL:
hxxp://111.6.96.162:100/mini.lohaslady.exe
hxxp://ppv.pcl818.top:9008/n2/opcl.exe
hxxp://dl.as7x.com/dl/SQLExp.exe
hxxp://ppv.pcl818.top:9008/pcl.exe
参考资料:
1.盗版Ghost系统携带独狼Rootkit来袭,锁定浏览器主页20多个https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ
2.Rootkit病毒独狼2冒充激活工具流传,熏染数万台电脑
https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow
3.狂风激活工具流传独狼Rootkit新变种
https://mp.weixin.qq.com/s/-qJ1JvvUA8vU4lrH_bWwYg
Stop勒索病毒变种加密机制分析 部分情况可以解密和恢复