近日,火絨威脅情報系統發現RdPack病毒正在快速傳播,該病毒將文件名偽裝成娛樂熱點(景甜 張繼科聊天記錄 曝光.exe)的方式在微信群中大肆傳播,經安全人員分析發現,運行病毒后會釋放并靜默執行RdViewer遠控軟件,黑客可通過RdViewer遠控軟件來操控受害者終端,并且執行惡意行為如:文件竊取、監控麥克風、攝像頭等惡意功能。

據火絨威脅情報系統顯示,一天內火絨已幫助數千臺終端成功攔截該病毒。火絨用戶無需擔心,火絨安全產品可攔截、查殺該病毒。已中毒的用戶,可使用火絨【全盤查殺】并重啟電腦即可徹底查殺該病毒。   

查殺圖

一、詳細分析

病毒文件“景甜 張繼科聊天記錄 曝光.exe”運行之后,會將RdViewer遠控軟件釋放到C:\Program Files\FileName目錄下,火絨劍監控到的行為,如下圖所示:

                       

火絨劍行為監控

通過RdClient.exe遠控簽名信息,可知該程序為RdViewer遠控軟件,如下圖所示:

通過執行不斷網安裝.vbs腳本來靜默安裝RdViewer,相關腳本,如下圖所示:

不斷網安裝.vbs

并添加系統服務來進行持久化操作,服務名為Rd_service,當計算機啟動時RdViewer會靜默啟動,相關服務信息,如下圖所示:

黑客可通過RdViewer遠控軟件來操控受害者終端,并且執行惡意行為如:文件竊取、監控麥克風、攝像頭等惡意功能,RdViewer管理端界面,如下圖所示:

RdViewer管理端界面

二、附錄

HASH:

黑客 軟件 火絨
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接