安装包文件数字签名信息
一直以来,不乏类似火萤视频桌面的商业软件,通过捆绑、流氓推广、篡改首页、劫持浏览器甚至收集用户隐私等恶意行为,来攫取更多利益,严重侵害用户的正当权益。对于此类恶意软件,火绒一直秉着保护用户权益的理念,进行严格的拦截、查*。 除此之外,火绒工程师也提醒大家,在安装软件前,可使用安全软件进行查*。同时,尽量不要在下载站下载软件,避免遭遇捆绑、推广行为。或者开启火绒【程序执行控制】—【下载站下载器】功能,规避因下载器带来的软件安全风险。
以下为恶意模块、组件的详细分析与样本hash:
1、卸载时保留恶意程序winhost.exe
当用户执行火萤视频桌面卸载程序时,卸载程序会向配置服务器发送请求,根据回文判断是否将winhost.exe删除。如果保留winhost.exe,将在注册表中设置winhost.exe为自启动项。请求报文内容与解密内容,注册表自启设置代码如下图所示:
请求报文内容
请求报文解密内容
注册表自启设置
winhost.exe运行后从服务器获取恶意配置
winhost.exe运行后向服务器请求配置json。通过后续代码判断json字段含义:bu为选择浏览器类型,rs为设置首页方式(模拟点击或修改配置文件),hp中为首页链接。如果rs为1,将先启动屏保遮挡屏幕,再使用模拟快捷键方式操作浏览器设置首页。如果rs为2,通过修改配置文件设置首页。获取配置相关代码如下图所示:
