注意！一組點擊器病毒正在快速傳播 火絨已全面攔截

近日，火絨工程師發現一組點擊器病毒，正在全網大面積傳播，目前單日感染終端數量超過數萬臺，該病毒可隨時占用用戶網絡資源以及CPU資源，執行流量暗刷等惡意行為。火絨緊急提醒廣大用戶做好防范準備。

根據火絨工程師分析，該病毒運行后，會下載執行無界面瀏覽器組件和點擊器木馬，然后在后臺暗刷流量，攫取利益。此外，不排除病毒后續還會向用戶電腦中下發其它惡意模塊的可能。

火絨用戶無需擔心，火絨產品（個人版、企業版）已對該病毒及其相關服務器地址進行攔截查殺。非火絨用戶可通過下載火絨軟件，并開啟【文件實時監控】、【惡意網址攔截】等功能，及時阻止病毒入侵。

以下為病毒分析內容：

一、樣本分析

以下圖中病毒進程樹為例，dT3S.exe為病毒下載器進程，該程序執行后會從服務器獲取無界面瀏覽器釋放器（qt512.exe）和點擊器木馬（svsebc.exe）到用戶本地執行。

病毒進程樹情況

dT3S.exe模塊主要功能為下載執行。截至到預警報告發布前，該病毒只下載暗刷流量的相關病毒模塊，但并不排除后續會下發其它病毒模塊的可能性。病毒模塊名稱及對應的服務器地址，如下圖所示：

病毒模塊名稱及對應的服務器地址

下載執行相關邏輯代碼，如下圖所示：

下載執行相關代碼

模擬用戶操作相關代碼，如下圖所示：

模擬用戶操作相關代碼

控制頁面跳轉相關代碼，如下圖所示：

控制頁面跳轉相關代碼

二、附錄

樣本hash