肥兔势力看涨,部分地区肆虐
最近,腾讯的反病毒实验室阻止了大量试图通过替进行替换windows通过对系统文件的回溯分析,发现木马主要通过伪装成37游戏在线等安装包进行推广和传播,具有很大的熏染量。 1、 “肥兔” 来源??最近,腾讯的反病毒实验室阻止了大量试图通过替进行替换windows通过对系统文件的回溯分析,发现木马主要是通过伪装成37游戏在线等安装包进行推广和传播,吸烟量很大。木马的主要功能是锁定浏览器主页,推广流氓软件。现在管家已经完全阻止和检查了它。
??木马与之前的黑狐木马在报告数据包、代码精神、服务器漫衍等方面有很大的相似之处,可以确定是统一作者所做的。与此同时,当管家跟踪木马时,他发现每个主要模块都包含了以下调试路径。从这条路径可以看出,木马的项目被称为feitu32Ej64-混沌后台”。管家因此将其取名“肥兔”,实际上为黑狐的新变种。
??巧合的是,管家在黑狐木马的伪装文件中,
肥兔和黑狐:必须说的关系
还发现了肥兔的身影,可以开始推断肥兔项目酝酿已久。
2、“肥兔”大剖解
??肥兔木马安装模块(FeiTuDll.dll)通过各种传播渠道下载实施后,木马将举行一系列下载安装过程,通过分析发现肥兔木马效果大,模块划分,应由团队作者完成,通过各种大测试和绕过,木马最终实现长期停留,杀死安全软件,锁定浏览器主页,推广流氓软件等。模块和效果的详细分工图如下:
肥兔木马功效示意图
肥兔木马模块分工示意图
3. 火眼金眼肥兔
??肥兔木马将以多种方式向下推广,日均推广量10W 推广后,将通过更换系统文件长期停留在系统中,对系统稳定性和用户隐私安全构成巨大威胁。现在木马主要通过流氓推广和浏览器锁定主页来盈利。
??到目前为止,肥兔木马已经感染了数百万台电脑,相当于中国每300台电脑中就有一台中了肥兔木马。如果你判断你的电脑是否被抓住了?管哥教你一个快速判断的动作:首先打开浏览器。如果您发现打开后的完整主页地址是http://www.2345.com/32420(如图)http://hao.congcon.com(如图所示)那么你已经中了肥兔木马;如果你最近经常发现电脑莫名其妙地安装了,xx杀毒、xx浏览器、xx桌面,那么你也很可能被肥兔潜伏。
??主页被设置为http://hao.congcon.com,该页面的地址如下图所示:
重定向后主页:
怎么干掉“肥兔”?你懂的