技术文章

近期，火绒安全情报中心监测到一款伪装成Clash（代理工具）的程序正在网络上传播。该程序的官方网站通过模仿Clash的下载页面，诱骗用户下载恶意软件。在安装过程中，该恶意软件会进行C2通信并植入持久化后门，进一步窃取敏感信息。经溯源分析，这款恶意软件是由易语言编写的木马，其存在相关开发者提供私人定制易语言服务，为他人的黑灰产活动提供支持。在此提醒广大用户，一定要从官方或可信渠道下载软件，以免因使用不明来源的程序而导致账号被盗或数据泄露。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

近期，火绒安全情报中心监测到一款伪装成具备SMS短信验证码接收服务的程序。该程序通过部署持久化后门（即僵尸网络节点）窃取敏感信息。火绒安全提醒广大用户务必从官方或可信渠道下载软件，避免因使用来路不明的程序而导致账号被盗或数据泄露。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

近期，火绒工程师在日常监测安全动态时发现，Rhadamanthys 窃密木马家族包含多种模块。这些模块采用自定义的 PE 结构，与正常的 PE 结构相似，因此需要手动构造 PE 文件进行分析。进一步分析表明，该样本会通过天堂之门注入到伪造父进程创建的傀儡进程中，随后进行杀软检测和反沙箱操作，且整个处理过程均在内存中完成，无文件落地。最终，该木马会下载窃密模块，窃密模块会窃取 Steam 登录验证文件和 Chrome 浏览器数据库文件。此外，它还会利用 Lua 脚本和 C# 动态库窃取加密货币钱包及密码管理软件中的秘钥等敏感数据。目前，火绒安全产品已能够对该窃密木马进行有效拦截和查杀，建议广大用户及时更新病毒库，以防范潜在安全风险。

​微软官方发布了2025年04月的安全更新。本月更新公布了202个漏洞，包含49个特权提升漏洞、33个远程执行代码漏洞、17个信息泄露漏洞、14个拒绝服务漏洞、9个安全功能绕过漏洞、3个身份假冒漏洞，其中11个漏洞级别为“Critical”（高危），112个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。

近期，火绒安全情报中心监测到一场正在针对运维人员开展的钓鱼攻击活动。火绒情报信息显示，此次钓鱼活动来自APT组织的Winnti团伙，该团伙自2009年起活跃至今，最初主要针对游戏行业发动攻击，其通过部署带有有效数字证书签名的恶意软件，窃取游戏社区的虚拟货币及源代码等敏感信息。此次钓鱼攻击通过伪造运维人员常用的SSH连接工具——FinalShell软件的官网，分发远程控制木马（Gh0st）的恶意样本。此类攻击通常以软件更新、破解版或绿色版软件为诱饵，诱导用户下载并执行恶意程序，进而实现窃取敏感信息、持久化控制、横向渗透等恶意行为。目前，火绒安全产品可对上述病毒进行拦截查杀，建议广大用户及时更新病毒库以提高防御能力。

今日，火绒收到反馈，浙江地区多家医院外网电脑遭受远控木马攻击，多人遭受不同程度的财产损失。该事件引起火绒团队高度重视，立即组织专项小组展开调查。经了解，该木马病毒通过钉钉、浙政钉、微信等即时聊天工具，以具有欺骗性文件名的钓鱼文件形式进行传播。一旦用户点击不明文件或扫描钓鱼二维码，电脑或手机就会被远程控制。并且不法分子还会利用受控设备建群，进行多次传播。火绒安全提醒广大用户：切勿轻信不明来源文件及信息，及时安装安全软件并定期进行查杀。

近期火绒收到用户反馈，称其在某平台购买产品后，官方提供的驱动安装包被火绒检测为感染型病毒。火绒安全工程师对此样本进行分析后，确认其中含有恶意代码，被Synares病毒所感染导致报毒。该种病毒为多年前的病毒，具有感染、传播、后门、发送邮件等功能，虽然其远控服务器与邮件账号早已不再响应或有效，但还是具有一定的危险性，能够对用户产生干扰。火绒安全产品可对上述病毒进行拦截查杀并能够将被感染的程序恢复为正常的原程序。

游戏MOD（即游戏修改器）是一种能够对游戏进行修改或增强的程序，因其能够提升游戏体验，在玩家群体中拥有一定的市场。然而，这类程序大多由第三方开发者制作，容易缺乏完善的安全保障机制，这就为不法分子提供了可乘之机，使得游戏MOD逐渐成为被盗号程序利用的对象。

近年来，随着Rust语言在系统编程领域的广泛应用，基于该语言开发的恶意软件样本也随之显著增长，其特有的技术特性正逐渐成为网络犯罪分子的新选择。目前，火绒在检测Rust样本过程中，已捕获数十万相关样本，且样本种类繁多。其中，排名前几位的样本类型主要集中在恶意软件、漏洞利用工具、黑客工具和后门程序。通过对这些样本进行深入分析，我们发现大多数恶意软件样本利用了Rust的内存特性来加载恶意代码，并借助后端LLVM Pass进行二次混淆，使得调试分析变得更加困难。

微软官方发布了2025年03月的安全更新。本月更新公布了256个漏洞，包含23个特权提升漏洞、23个远程执行代码漏洞、4个身份假冒漏洞、4个信息泄露漏洞、3个安全功能绕过漏洞、1个拒绝服务漏洞，其中6个漏洞级别为“Critical”（高危），51个为“Important”（严重）。其中包含检测到文件系统相关漏洞在野利用的情况，请广大用户谨慎挂载陌生VHD介质，同时建议及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。

钓鱼攻击是一种高度隐蔽且极具欺骗性的网络威胁，攻击者通过伪装成银行、保险公司、税务机构或其他可信机构的官方文件，诱导受害者点击下载恶意文件。而在生活和工作中，电子文档作为常用工具，可能也不会让我们“心生防备”。

微软官方发布了2025年2月的安全更新。本月更新公布了141个漏洞，包含26个远程执行代码漏洞、20个特权提升漏洞、9个拒绝服务漏洞、5个身份假冒漏洞、2个安全功能绕过漏洞、1个篡改漏洞、1个信息泄露漏洞，其中4个漏洞级别为“Critical”（高危），57个为“Important”（严重）。建议用户及时使用火绒安全软件（个人/企业）【漏洞修复】功能更新补丁。