技术文章-火绒安全

2025-09-12

病毒伪装搜狗输入法，正规签名内嵌恶意脚本

近期，火绒工程师在关注安全动态过程中发现，存在一种后门病毒以伪装成搜狗输入法的形式进行传播。此病毒采用正规签名内嵌恶意脚本的手段，以规避安全检测。

2025-08-26

远控服务器孕育Node.js恶意脚本，依托以太坊完成远程操控

Node.js 作为一种高性能的 JavaScript 运行环境，凭借强大的功能广泛应用于服务器端开发，为开发者带来诸多便利。然而，其灵活性和跨平台特性在受到开发者青睐的同时，也逐渐吸引了攻击者注意。

2025-08-19

金山等软件被常用工具弹窗推广，流氓行为传播数十万终端

流氓软件如同数字世界的寄生虫，长期侵扰用户电脑、破坏使用体验。它们往往通过看似无害的软件捆绑潜入系统，肆意弹窗广告、强制安装推广软件、窃取隐私甚至消耗系统资源，已成为网络安全环境的一大顽疾。

2025-08-15

Steam盗号病毒预警：警惕B站UP主“推荐”恶意软件

反作弊机制和匹配的公平性往往是竞技类游戏的重要决定性因素，由此也诞生了对应的技术平台，其中就包括Faceit。Faceit类似于国内的完美平台、5E 对战平台等第三方对战平台，主要为第一人称射击游戏提供在线匹配、反作弊服务等服务，受到不少游戏玩家的青睐。

2025-08-14

流氓联盟欺软怕硬，多链路恶意推广

随着国内互联网的爆发式增长，流氓软件也在不断地发展。其推广手段的不断迭代升级，反映出技术、商业与监管各方之间的复杂博弈。多数流氓软件都具备强制安装，难以卸载，捆绑推广，弹窗广告等恶意行为，通过挟持用户终端资源变现。从合作捆绑到群魔乱舞，网民的觉醒是否让流氓软件黔驴技穷了呢?并不见得，如今流氓软件也具备了“柿子挑软的捏”的特质。会尝试规避有杀软的电脑，规避访问技术论坛的技术人士，甚至规避短时间内成功卸载过流氓软件的用户。一方面我们希望源头处做好监管，一方面我们也希望每个人都能了解到流氓软件的恶行并加以规避。

2025-08-01

银狐钓鱼再升级：白文件脚本化实现GO语言后门持久驻留

近期，火绒威胁情报中心监测到一批相对更为活跃的“银狐”系列变种木马。火绒安全工程师第一时间获取样本并进行分析。分析发现，该样本通过阿里云存储桶下发恶意文件，采用AppDomainManager进行白利用，并借助Python执行恶意脚本下发Go语言后门，最终实现对电脑的后门权限长期维持控制。目前，火绒安全产品能够有效拦截和查杀上述病毒。火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力，能够及时识别和阻止恶意代码在内存中的执行，从而保护用户系统的安全。

2025-07-18

金山毒霸再借病毒安装，360推广平台成病毒温床

软件的恶意推广行为是长期存在的行业乱象。部分群体为追求商业利益，采用捆绑安装、虚假诱导等不正当的推广手段进行强制推广，不仅严重影响着用户的使用体验，也破坏了公平竞争的市场环境。这类推广往往会利用技术手段绕过用户授权，不断挑战用户容忍底线、违背用户意愿强制安装软件，还会侵占设备存储空间、拖慢运行速度，更有甚者还会注入后门，侵犯用户隐私、窃取敏感信息，给本应便捷的网络体验带来困扰。

2025-07-16

XenoStealer变种借邮件附件传播，基于开源框架扩大窃密范围

近期，火绒安全实验室检测到一种包含附件 Purchase Order.vbe 的邮件。而这看似普通的邮件其实是一封钓鱼邮件，其中的附件本质上是一个恶意文件，一旦打开，藏在其中的恶意程序就会“苏醒”，悄悄窃取受害者的各种重要信息。这类攻击就是钓鱼攻击。

2025-07-08

冒牌软件暗藏危机：仿冒知名程序加载恶意代码，后门窃取隐私无孔不入

近期，火绒安全情报中心监测到一类高度活跃且极具威胁的攻击手法，这种手法经常被“银狐”木马等病毒利用投毒。攻击者通过精心伪造各类软件的“官网”，通过网络推广等方式诱导访问并下载安装这些冒牌软件。下载后的程序（例如本次捕获的伪装成Sandboxie的样本）会利用二次打包等隐蔽手段，在安装过程中悄无声息地植入恶意代码，并在系统中暗设后门。

2025-06-30

StilachiRAT后门静默植入防火墙规则，封锁杀软通信无声窃密

近期，火绒安全实验室收到有关用户电脑网络出现异常的反馈，溯源发现，此异常由 StilachiRAT 后门病毒引发。该病毒通过破坏安全软件的 TCP 连接与添加防火墙过滤规则的方式限制网络通信。此病毒具备利用动态解密获取字符串和函数地址来迟缓逆向分析效率的能力，还会利用 WMI 服务获取系统信息等手段检测虚拟机。其攻击行为包括窃取剪切板、文件或窗口中的密码、虚拟货币钱包地址、存于 Chrome 浏览器中的登录秘钥等数据，还可通过后门实现截屏和执行任意程序等操作。目前，火绒安全产品可对上述窃密木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

2025-06-25

溯源伪冒火绒背后：FPS雷达透视外挂黑市产销链浮出水面

在阅读本篇文章之前，让我们先来深入了解下游戏外挂背后潜藏的多重危害吧——这些看似能在虚拟世界中“捷径通关”的程序，实则是威胁数字安全的隐形杀手，从篡改游戏数据破坏公平竞技环境，到伪装成正规软件窃取用户隐私，再到形成覆盖开发、贩卖、数据盗用等环节的黑色产业链，外挂程序的危害正不断显现，愈发需要我们提高警惕。

2025-06-10

谨慎辨别高仿APP——伪装主流软件投毒样本横向分析

近期，火绒工程师在日常关注安全动态时发现，以仿冒软件的方式传播病毒依旧是一个常见的手段。被仿冒的软件包含各大主流软件，包括 WPS、搜狗浏览器、Chrome 浏览器等。这些仿冒软件中被封装了不同的恶意程序，其中病毒的后门种类主要集中在 Gh0st 家族系列和银狐后门 WinOS。某些样本还会通过特殊注入手段将恶意代码注入系统，或利用易受攻击的驱动关闭安全软件的进程，从而逃过安全软件的监测。目前，火绒安全产品可对上述木马进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

技术文章

安全无忧，一键开启