[威胁情报][JAVA]疑似远控病毒捆绑在HMCL启动器并在Q群传播

StopX · 发表于 2023-2-11 20:57:40

日常无聊逛Q群时发现了一个奇怪的文件------ 屏幕截图 2023-02-11 204124.png

这玩意看起来是不是和普通的HMCL启动器并无不同？但其实，这是一个捆绑了远控木马的HMCL。

微步云沙箱报告：屏幕截图 2023-02-11 203931.png

病毒行为：运行该“启动器”后它会将自身复制到C:\Windows 目录下，如图所示屏幕截图 2023-02-11 204513.png

然后释放出远控本体“inc.exe”和正常的HMCL启动器并运行（没安装杀毒软件的视角就只是运行了HMCL启动器，丝毫感受不出任何异常）

屏幕截图 2023-02-11 204608.png

最后远控病毒外联控制端,系统被控制屏幕截图 2023-02-11 204906.png

该样本目前（2023.2.11）火绒无法查杀：，请不要下载来源不明的启动器。

补救措施：检查C:\Windows下是否存在“inc.exe”文件，如有，请删除。

教训：
1.不下载运行来历不明的启动器。
2.不随意相信所谓的“软件会被杀毒软件误报”而关闭杀毒软件。

附上hmcl官方下载地址：下载 - Hello Minecraft! Launcher (huangyuhui.net)

小永高呐 · 发表于 2023-2-11 21:08:26

这问题挺严重的啊

Forget0804 · 发表于 2023-2-11 21:20:03

只要不乱下载就行了

Ucraft · 发表于 2023-2-11 21:24:56

30w浏览？？？

StopX · 发表于 2023-2-11 21:26:35

Ucraft 发表于 2023-2-11 21:24
30w浏览？？？

似乎是论坛bug（已在群内吐槽

淮南节度使 · 发表于 2023-2-11 22:27:39

我总觉得火绒不安全，唯一作用是去弹窗

StopX · 发表于 2023-2-11 23:03:20

淮南节度使发表于 2023-2-11 22:27
我总觉得火绒不安全，唯一作用是去弹窗

正确的，火绒在防护方面惨不忍睹

星羽. · 发表于 2023-3-1 20:04:42

666666666666

Wither_Storm · 发表于 2023-3-2 17:30:49

em,PCL2容易被误报成木马

StopX · 发表于 2023-3-2 17:56:28

Wither_Storm 发表于 2023-3-2 17:30
em,PCL2容易被误报成木马

无需质疑已经实锤的威胁情报，还有请仔细阅读全文以免误解

[闲聊] [威胁情报][JAVA]疑似远控病毒捆绑在HMCL启动器并在Q群传播

QQ群

访问手机版