吃瓜要當心！駭客利用娛樂熱點大肆傳播病毒

國內知名安全廠商火絨最近發現，RdPack病毒正在以將檔名偽裝成娛樂熱點（景甜 張繼科聊天記錄 曝光.exe）的方式在微信群中大肆傳播。經火絨安全人員分析發現，執行病毒後會釋放並靜默安裝RdViewer遠控軟體，駭客可透過RdViewer遠控軟體來操控受害者終端，並且執行惡意行為（如檔案竊取、監控麥克風攝像頭等）。

據火絨安全官方報告，病毒檔案“景甜 張繼科聊天記錄 曝光.exe”執行之後，會將RdViewer遠控軟體釋放到C:\Program Files\FileName目錄下：

透過RdClient.exe遠控簽名資訊，可知該程式為RdViewer遠控軟體：

透過執行不斷網安裝.vbs指令碼來靜默安裝RdViewer，相關指令碼，如下圖所示：

並新增系統服務來進行持久化操作，服務名為Rd_service，當計算機啟動時RdViewer會靜默啟動，相關服務資訊，如下圖所示：

最終，駭客可透過RdViewer遠控軟體來操控受害者終端，並且執行惡意行為（如檔案竊取、監控麥克風攝像頭等），RdViewer管理端介面，如下圖所示：

另外在本月初，火絨威脅情報系統還監測到一款名為“DcRat”的後門病毒新變種在微信群中大肆傳播。駭客團伙會將該病毒偽裝成各類看似正常的檔案（文件、圖片、影片等），傳送給微信群聊中的使用者，並誘導使用者開啟，進而實施收集使用者隱私資訊、遠控使用者電腦等惡意行為。

此類藉助熱點事件傳播惡意檔案的案例已屢見不鮮，因此，建議大家在即時通訊應用的群聊裡看到類似的檔案時，一定要提高警惕，對於安全性沒把握的任何陌生檔案，至少也要先查殺再執行。

編輯：左右裡

資訊來源：火絨安全

轉載請註明出處和本文連結