[威胁情报][JAVA]疑似远控病毒捆绑在HMCL启动器并在Q群传播

St*** · 发表于 2023-2-11 20:57:40

日常无聊逛Q群时发现了一个奇怪的文件------ 屏幕截图 2023-02-11 204124.png

这玩意看起来是不是和普通的HMCL启动器并无不同？但其实，这是一个捆绑了远控木马的HMCL。

微步云沙箱报告：屏幕截图 2023-02-11 203931.png

病毒行为：运行该“启动器”后它会将自身复制到C:\Windows 目录下，如图所示屏幕截图 2023-02-11 204513.png

然后释放出远控本体“inc.exe”和正常的HMCL启动器并运行（没安装杀毒软件的视角就只是运行了HMCL启动器，丝毫感受不出任何异常）

屏幕截图 2023-02-11 204608.png

最后远控病毒外联控制端,系统被控制屏幕截图 2023-02-11 204906.png

该样本目前（2023.2.11）火绒无法查杀：，请不要下载来源不明的启动器。

补救措施：检查C:\Windows下是否存在“inc.exe”文件，如有，请删除。

教训：
1.不下载运行来历不明的启动器。
2.不随意相信所谓的“软件会被杀毒软件误报”而关闭杀毒软件。

附上hmcl官方下载地址：下载 - Hello Minecraft! Launcher (huangyuhui.net)

小永*** · 发表于 2023-2-11 21:08:26

评论复审中...编号：5711347

Forge*** · 发表于 2023-2-11 21:20:03

评论复审中...编号：5711664

Ucr*** · 发表于 2023-2-11 21:24:56

评论复审中...编号：5711805

St*** · 发表于 2023-2-11 21:26:35

评论复审中...编号：5711871

淮南*** · 发表于 2023-2-11 22:27:39

评论复审中...编号：5713458

St*** · 发表于 2023-2-11 23:03:20

评论复审中...编号：5714368

星*** · 发表于 2023-3-1 20:04:42

评论复审中...编号：5942182

Wither*** · 发表于 2023-3-2 17:30:49

评论复审中...编号：5946535

St*** · 发表于 2023-3-2 17:56:28

评论复审中...编号：5946677

[闲聊] [威胁情报][JAVA]疑似远控病毒捆绑在HMCL启动器并在Q群传播

浏览过的版块

QQ群

访问手机版