瑞星捕获疑似国内黑客组织传播病毒证据
近日,瑞星威胁情报中心捕获到疑似国内病毒团伙利用HFS服务器传播病毒的证据。经分析发现,此次传播的病毒有数个,其中点击量最高的已经过万,病毒不仅会伪装成游戏,还会释放后门及远控木马,因此广大用户需提高警惕。
图:病毒团伙IP地址下的多个恶意文件
通过瑞星HFS服务器监控平台可以看出,此次事件中的病毒团伙利用的IP地址为:119.91.152.xxx:4442,因此猜测该团伙为国内组织。而在这个HFS服务器下,存有多个恶意文件,其中“srys.exe”文件的点击量已经过万,不止释放Farfli后门程序,还释放DarkKomet远控木马。同时,该IP地址下的“梦回沉默M2.exe”、“12_32.exe”和“syswqa.exe”等文件,有的会伪装成游戏迷惑用户,有的会访问恶意地址,而最终均会释放“srys.exe”程序。图:瑞星HFS服务器监控平台检测到带有恶意文件的IP地址
瑞星安全专家介绍,病毒团伙是利用HFS服务器地址传播恶意程序的,无论是点击该IP地址下哪个程序,最终都会被指向“srys.exe”,而这个点击量已经过万的恶意程序,不仅开启后门程序,还会对受害主机进行控制桌面、记录键盘、截取屏幕、盗取文件及其他远程控制等操作。