火绒安全软件自发布以来,其内置的小工具因其实用性备受用户青睐。近期涌现了众多“独立小工具”版本,其中一款名为“火绒剑”的独立版本在某论坛上引起了广泛关注。经工程师们验证,这款“火绒剑”实际上是火绒安全个人版5.0中的工具,却被不法分子非法提取、恶意篡改并植入了病毒。
鉴于该情况,火绒安全团队迅速与相关论坛取得联系,并促使其删除了该分享贴。为保障广大用户的终端安全,火绒安全软件已升级病毒库以支持对该样本的查杀。我们强烈建议用户及时更新病毒库,以增强对潜在威胁的防范能力。
对于该论坛分享页面所展示的“火绒剑”独立版本,我们对其流程图和简要说明进行了深入研究。在深入分析中我们发现,被篡改的文件缺乏数字签名,且在被安装后,会有一个名为HRSword.exe的程序加载被篡改的uactmon.dll病毒文件。
此病毒文件通过特定的函数执意操作,并解密出加载器代码。加载器进一步解密恶意DLL数据,并加载后门模块。该后门模块通过发送ICMP报文至20.2.66.39 IP地址,并根据返回结果执行包括执行程序、写文件以及类似文件管理等操作。这一系列操作对用户的终端安全构成了严重威胁。
火绒安全团队对此类恶意篡改行为持零容忍态度,并保留追究法律责任的。我们将采取一切必要的法律措施来保护我们的用户和公司的合法权益。为杜绝此类事件再次发生,我们甚至会考虑报警。
后续我们将发布详细的样本分析报告及流程图,以便用户更清晰地了解病毒的运行机制及查杀方法。
样本HASH:(此处附上具体的样本HASH信息)
火绒安全