當心 DcRat 后門病毒新變種!偽裝正常文件微信群

  網絡滲透測試     |      2023-04-09 09:40

日前,國產殺毒軟件火絨發文稱,火絨威脅情報系統監測到一款名為 "DcRat" 的后門病毒新變種,正通過偽裝成正常文件名的方式在微信群中大肆傳播。

經分析,該病毒入侵電腦后,存在收集用戶隱私信息、遠控用戶電腦等危害,這是繼 "Xidu" 病毒后又一款通過偽裝來誘導用戶,并通過即時通訊軟件傳播的病毒,用戶一不小心就會中招。

據介紹,該黑客團伙將病毒偽裝成的各類文件(文檔、圖片、視頻等)發送給微信群聊中的用戶,并誘導用戶打開,隨后實施收集信息等惡意行為。

病毒偽裝的文件名列表

該病毒運行后,不僅會竊取用戶電腦中文件,還會收集用戶信息如用戶名、操作系統版本,記錄鍵盤、麥克風和攝像頭數據。

需要注意的是,這種病毒還能遠程控制受害者終端執行任意操作。

火絨官方表示,該病毒啟動后,會從 C&C 服務器下載執行 shellcode,在 shellcode 中會內存加載 .NET 后門模塊來躲避殺毒軟件的查殺,為了防止自身暴露,病毒還會結束安全工具和安全軟件進程。

在此提醒,微信等聊天軟件群聊中發送的陌生文件,建議先查殺再使用。

病毒執行流程圖