[威胁情报][JAVA]疑似远控病毒捆绑在HMCL启动器并在Q群传播
日常无聊逛Q群时发现了一个奇怪的文件------
这玩意看起来是不是和普通的HMCL启动器并无不同?但其实,这是一个捆绑了远控木马的HMCL。
微步云沙箱报告:
病毒行为:运行该“启动器”后它会将自身复制到C:\Windows 目录下,如图所示
然后释放出远控本体“inc.exe”和正常的HMCL启动器并运行(没安装杀毒软件的视角就只是运行了HMCL启动器,丝毫感受不出任何异常)
最后远控病毒外联控制端,系统被控制
该样本目前(2023.2.11)火绒无法查杀:,请不要下载来源不明的启动器。
补救措施:检查C:\Windows下是否存在“inc.exe”文件,如有,请删除。
教训:
1.不下载运行来历不明的启动器。
2.不随意相信所谓的“软件会被杀毒软件误报”而关闭杀毒软件。
附上hmcl官方下载地址:下载 - Hello Minecraft! Launcher (huangyuhui.net)
这问题挺严重的啊 只要不乱下载就行了 30w浏览???[贴吧_滑稽] Ucraft 发表于 2023-2-11 21:24
30w浏览???
似乎是论坛bug(已在群内吐槽
我总觉得火绒不安全,唯一作用是去弹窗[贴吧_咦] 淮南节度使 发表于 2023-2-11 22:27
我总觉得火绒不安全,唯一作用是去弹窗
正确的,火绒在防护方面惨不忍睹
666666666666 em,PCL2容易被误报成木马 Wither_Storm 发表于 2023-3-2 17:30
em,PCL2容易被误报成木马
无需质疑已经实锤的威胁情报,还有请仔细阅读全文以免误解
页: [1]2