注意！一组点击器病毒正在快速传播火绒已全面拦截

skystars · 发表于 2021-9-18 20:19:25

近日，火绒工程师发现一组点击器病毒，正在全网大面积传播，目前单日感染终端数量超过数万台，该病毒可随时占用用户网络资源以及CPU资源，执行流量暗刷等恶意行为。火绒紧急提醒广大用户做好防范准备。

根据火绒工程师分析，该病毒运行后，会下载执行无界面浏览器组件和点击器木马，然后在后台暗刷流量，攫取利益。此外，不排除病毒后续还会向用户电脑中下发其它恶意模块的可能。

火绒用户无需担心，火绒产品（个人版、企业版）已对该病毒及其相关服务器地址进行拦截查杀。非火绒用户可通过下载火绒软件，并开启【文件实时监控】、【恶意网址拦截】等功能，及时阻止病毒入侵。

以下为病毒分析内容：

一、样本分析

以下图中病毒进程树为例，dT3S.exe为病毒下载器进程，该程序执行后会从服务器获取无界面浏览器释放器（qt512.exe）和点击器木马（svsebc.exe）到用户本地执行。

病毒进程树情况

dT3S.exe模块主要功能为下载执行。截至到预警报告发布前，该病毒只下载暗刷流量的相关病毒模块，但并不排除后续会下发其它病毒模块的可能性。病毒模块名称及对应的服务器地址，如下图所示：

病毒模块名称及对应的服务器地址

下载执行相关逻辑代码，如下图所示：

下载执行相关代码

模拟用户操作相关代码，如下图所示：

模拟用户操作相关代码

控制页面跳转相关代码，如下图所示：

控制页面跳转相关代码

二、附录

样本hash

skystars · 发表于 2021-9-18 20:29:35

henry217 · 发表于 2021-9-21 08:49:37

我看这代码

很明显qt写的

[转载分析] 注意！一组点击器病毒正在快速传播火绒已全面拦截