1.“企鹅FM”带毒事件后续：恐为持续针对视障人士的火绒火绒定向投毒
2.火绒可以和电脑管家一起用吗？
3.初探DLL注入
4.百度旗下网站暗藏恶意代码劫持用户电脑疯狂 收割 流量
5.恶性病毒Kuzzle“攻破”安全厂商白名单 用户重装系统也难以清除
6.[良心杀软]智量终端安全官方中文版V3.0.1 | 智量终端安全官网下载 | 智量终端安全和火绒是黄金搭档！！注入

“企鹅FM”带毒事件后续：恐为持续针对视障人士的源码定向投毒

       企鹅FM”定向投毒事件追踪：视障群体的网络安全警钟

       近日，网络安全专家火绒团队揭示了一起令人震惊的火绒火绒事件：腾讯旗下的企鹅FM无障碍版安装包被黑客投放了定向针对视障用户的恶意软件。火绒团队连夜深入剖析，注入发现病毒不仅具备常规的源码cpa支付源码文件感染、键盘记录、火绒火绒屏幕截图和文件上传功能，注入更令人担忧的源码是，它还能远程控制读屏软件和关闭电脑音频，火绒火绒明显是注入针对视障用户的一次恶意攻击。

       回顾历史，源码年“冲浪星”辅助软件也曾遭遇类似投毒，火绒火绒官方证实其被篡改。注入火绒团队经过深入比对，源码确认此次病毒样本与“冲浪星”事件具有高度关联，表明针对视障用户的定向投毒行为并未停歇。

       据火绒工程师的追踪，病毒源头指向企鹅FM无障碍版的开发者个人页面，黑客可能通过控制开发者的工作环境植入了后门病毒，用户在官方下载的安装包中不幸中招。火绒已提供解决方案，用户可通过最新版的火绒产品对安装包进行查杀，并清除病毒，确保软件安全使用。

       火绒始终致力于为视障用户提供安全防护，积极兼容各类辅助软件，以降低潜在风险。我们坚信，每个用户都值得被平等对待，他们的安全不容忽视。在这个数字化时代，保护视障群体的数字安全，是我们共同的责任。

       详细分析

       火绒团队在近期监测中，发现腾讯企鹅FM的无障碍版安装包被黑客精心设计的定向病毒侵袭。一旦安装，病毒会执行后门指令，执行恶意行为，包括但不限于文件感染、奇酷微视源码键盘窃取、屏幕截图等。更为恶劣的是，病毒还能远程控制读屏软件和关闭音频功能，显示出明显的定向攻击意图。

       病毒与“冲浪星”软件的关联性也进一步证实了这种定向攻击。年以来，冲浪星多次被恶意篡改，且病毒样本中的解密密钥和C&C服务器地址与冲浪星官方声明相符。这表明黑客对视障群体的恶意攻击持续不断。

       火绒团队的深入分析揭示了病毒的运行机制，从svchost.exe注入、远程命令执行，到后门指令的解密和执行，展示了病毒的精密设计。同时，病毒还针对可执行文件的感染逻辑进行了说明，进一步印证了其对企鹅FM无障碍版的攻击。

       同源分析揭示更深层关联

       通过同源代码对比，我们发现了疑似与“冲浪星”相关的不明程序，虽然代码基础相同，但并未包含后门功能。这也印证了黑客可能通过篡改多个软件来达到他们的目的。而“冲浪星”官方交流群的记录，证实了软件曾多次受到攻击，时间线与病毒样本的出现相吻合。

       结论与呼吁

       企鹅FM无障碍版的定向投毒事件再次提醒我们，视障群体在数字化世界中面临的网络安全威胁。火绒团队将继续守护这一特殊群体，同时呼吁所有软件开发者和平台，加强安全防护，防止此类定向攻击的再次发生，确保每个人都能在一个安全的数字环境中生活。

火绒可以和电脑管家一起用吗？

       可以。电脑管家兼容性好。可以用腾讯电脑管家，电脑管家能够快速全面地检查计算机存在的风险，检查项目主要包括木马、高危系统漏洞、电视源码输出噪音垃圾文件、系统配置被破坏及篡改等。发现风险后，通过电脑管家提供的修复和优化操作，能够消除风险和优化计算机的性能。电脑管家建议您每周体检一次，这样可以大大降低被木马入侵的风险。

       火绒安全软件和腾讯电脑管家这两款软件功能差不大就容易导致电脑蓝屏，用户也容易被误导。两款软件分别检测对方，会提示对方有问题。如火绒安全软件会提示腾讯电脑管家拖慢了系统，让用户卸载掉腾讯电脑管家。反过来，腾讯电脑管家也会提示用户火绒安全软件的毛病，让用户二选一。

       如果非要两款软件一起安装使用，建议开机启动只能保留一款，这样就可以避免掉冲突。

初探DLL注入

       本文主要探讨DLL注入技术的原理、实现方法及应用。DLL注入是指将特定的DLL文件强制插入运行中的其他进程，以利用其功能或进行控制。与常规DLL加载不同，DLL注入目标是自身进程或其他进程，此过程需要通过调用LoadLibrary()API实现。

       注入过程通常涉及创建远程线程、利用注册表(AppInit_DLLs值)、实现消息钩取(SetWindowsHookEx()API)等方法。以创建远程线程为例，通过获取目标进程的PID并调用CreateRemoteThread函数，将远程线程插入目标进程，从而实现DLL的强制加载。

       在注入DLL后，目标进程将能够访问注入DLL的内存空间，并执行其中的函数，例如加载HTML文件。注入DLL的进程调用DLLMain()函数，然后执行内部逻辑，显卡hdmi源码输出如下载指定网站的HTML文件。注入过程的核心是调用LoadLibrary()函数，通过远程线程传递DLL路径，让目标进程加载该DLL。

       为了解决DLL加载地址的差异性问题，需根据操作系统、语言和版本的不同来调整LoadLibrary()函数的调用，确保注入DLL的正确加载。Windows操作系统中，DLL加载后可被其他进程映射使用，提高了内存使用效率。注入DLL后，目标进程将执行DLL的函数，如URLDownloadToFile，下载指定网站的HTML文件。

       实现DLL卸载的过程同样重要，通过调用FreeLibrary()API可以将注入的DLL从目标进程内存中移除。这通常在注入DLL后立即执行，以避免对目标进程造成持续影响。

       AppInit_DLLs注册表键值提供了另一种注入方法，允许在系统启动时自动加载DLL。修改注册表后，重启系统，使用工具如火绒剑或process explorer验证DLL是否成功注入所有加载了特定DLL（如user.dll）的进程。只有当目标进程是特定进程（如notepad.exe）时，注入DLL才会发挥作用。

       SetWindowsHookEx()API则是实现消息钩取的一种方法，通过将键盘钩子添加到系统钩链，可以在特定进程中强制加载DLL。安装好键盘钩子后，无论哪个进程发生键盘输入事件，系统都会将DLL强制加载到相应进程，从而实现对特定进程的控制或数据截取。

       调试过程包括分析核心代码、使用调试工具如OD（OllyDbg）来跟踪注入过程，以及验证DLL加载和功能实现。通过设置断点、运行代码和观察进程状态，可以深入了解DLL注入的360没有审核源码实现细节和工作流程。

       总结而言，DLL注入技术为恶意软件、远程控制工具和系统管理提供了强大功能，通过控制DLL加载和执行，实现了对进程的隐蔽操作和控制。理解DLL注入的原理和方法，对于安全防护和系统管理至关重要。

百度旗下网站暗藏恶意代码劫持用户电脑疯狂 收割 流量

       百度旗下网站潜藏恶意代码，肆意劫持流量，引发安全警报

       火绒安全实验室揭示了百度旗下skycn.net和soft.hao.com的下载软件被暗藏恶意代码，这款代码以驱动形式顽固驻留，公然侵犯用户权益，远程操控电脑，疯狂劫持流量。令人担忧的是，这个恶意代码披着百度的合法签名，由nvMultitask.exe释放器捆绑下载。自年9月起，该恶意行为近期升级为“云端控制”，用户电脑在特定条件下随时可能遭受劫持。最让人无奈的是，该代码无卸载选项，完全受云端指令控制，威胁用户浏览器、首页等关键功能，导致大量流量无端流入hao。

       火绒安全团队将其命名为“Rogue/NetReaper”，并已发布安全软件和专杀工具以对抗这一威胁。用户可从火绒安全软件4.0和火绒专杀工具下载，进行有效防护。火绒提醒，这一恶意行为涉及以下主要劫持行为：

        导航站劫持：用户试图访问其他导航站点时，被强行重定向至hao。

        首页篡改：IE用户的默认首页被悄悄改为hao，流量数据遭到监控。

        浏览器劫持：浏览器被篡改为IE或假IE，流量统计流向hao。

        广告劫持：百度网盟广告计费名称被修改为猎豹（金山毒霸），导致广告收益流失。

        电商流量劫持：用户在访问京东等电商网站时，会遭引诱至妖猴网，恶意代码从中获取收益。

       火绒强烈建议用户立即升级到最新版本的安全软件，以保护自己免受这一威胁。据悉，推广费用的分配机制中，妖猴网向恶意代码的制作者输送利益。只要下载了soft.hao.com的任意下载器，无需用户操作，恶意代码便会悄无声息地植入。通过使用火绒剑监控工具，用户可追踪植入过程。

       恶意代码的执行过程相当狡猾，HSoftDoloEx.exe首先通过nvMultitask.exe植入关键文件，如HSoftDoloEx.exe、bime.dll和LcScience.sys，负责启动、保护和更新。LcScience.sys通过注册映像加载通知，悄悄注入bime.dll到目标进程，确保其能在不同环境下执行劫持操作。尤其值得关注的是，这些恶意文件中，百度的签名标志为它们披上了合法的外衣。

       具体到执行步骤，services.exe通过"-inject=start"启动HSoftDoloEx.exe，bime.dll随浏览器启动并执行保护策略。恶意代码严密守护WaNdFilter.sys和LcScience.sys，防止被清理。nvMultitask.exe（3.2.0.4）版本通过解码、下载和解密文件，不断升级恶意软件。升级流程涉及HSoftDoloEx.exe请求更新、bime.dll在Explorer.exe中的请求，以及从CC服务器获取加密指令。

       当exe进程启动后，恶意模块svcprotect.dat活跃起来，它释放假iexplorer.exe和劫持浏览器首页。通过CC服务器的指令，恶意代码执行三种劫持策略，包括替换浏览器、劫持启动参数，以及固有流量保护。其中，iexplorer_helper.dat执行复杂的CC通信，涉及解码、XOR操作以及-图的加密指令操作。

       百度网盟广告劫持事件尤为恶劣，恶意代码通过云控指令劫持导航站广告脚本，将用户流量导向非预期目标。详细的劫持过程涉及多个步骤，如拼接跳转链接、检测iframe标签等，见图和。

       总之，百度旗下网站的这一恶意行为不容忽视，用户务必保持警惕并采取有效防护措施。火绒的安全软件和专杀工具为用户提供了一道坚固的防线，对抗这一狡猾的流量劫持者。

       附录：恶意代码攻击时间线和关键样本信息

        发现其他恶意代码释放器：

        样本HASH列表

        CC服务器指令接口详情

       面对这一威胁，用户务必保持警觉，及时更新安全防护措施，以保护自己的网络空间不受侵犯。

恶性病毒Kuzzle“攻破”安全厂商白名单 用户重装系统也难以清除

       火绒团队揭示新型恶意病毒Kuzzle的隐形威胁

       近日，火绒安全团队遭遇了一种狡猾的恶意病毒——Kuzzle，它以其高超的手段成功地潜入用户的系统，挑战了安全防线。这款病毒通过一个快速下载器以“云记事本”的伪装进行传播，借助北信源等知名厂商的数字签名，巧妙地欺骗了诸多安全软件，从而得以悄无声息地入侵。Kuzzle的攻击手段独特，它不仅感染MBR和VBR，即使用户重装系统，病毒的Bootkit技术也能让其顽固地存续，数据加密存储，攻击过程几乎无迹可寻。

       Kuzzle利用"ksafesvc.exe"和"baidusdsvc.exe"的检测机制，通过"-silent"启动参数启动病毒下载和安装。它巧妙地加载了"pdfsvr.exe"，看似南京鸿思公司的合法签名，实则隐藏着恶意行为。病毒的释放器"calsp_.exe"内含多个重要文件，如setup.dat、upsoar.ini等，其中的"pdfsvr.exe"在/service参数下启动，而"net.dat"则是一个加密下载器，其内容在内存中执行。

       令人担忧的是，病毒驱动BulkEncX.sys隐藏了经过SHA1加密的病毒代码，安全研究者可能会被驱动签名误导。解密后的virus_shell_code在特定时机感染VBR，同时备份原始VBR，可能涉及北信源数字签名的盗用。Kuzzle通过修改Disk.sys IRP，注入Injector.dll，实现了对浏览器的劫持，其劫持行为由snock.cfg和rpl.cfg配置文件精细控制，针对不同浏览器有定制的劫持逻辑和正则匹配规则，如针对傲游、QQ和猎豹浏览器，它会检查父进程并启动特定的网页。

       更恶劣的是，Kuzzle还能添加浏览器收藏夹，修改Chrome内核浏览器的数据库，甚至创建IE的收藏夹快捷方式。病毒还通过Hook Mswsock.dll的WSPStartup功能，对网络访问进行劫持，尽管部分功能尚未完全实现。此外，Kuzzle还具备SoftSecurity和MsOffice目录功能，涉及的样本SHA值也需引起警惕。

       面对Kuzzle的挑战，火绒安全团队已经迅速升级病毒库，力图在用户系统中设置一道防线。然而，这种新型病毒的复杂性和隐蔽性无疑给网络安全带来了新的挑战。为了保护用户的电脑安全，用户应保持警惕，定期更新系统和安全软件，以减少被病毒感染的风险。

[良心杀软]智量终端安全官方中文版V3.0.1 | 智量终端安全官网下载 | 智量终端安全和火绒是黄金搭档！！

       探索智能守护：智量终端安全V3.0.1 - 与火绒的强强联合

       在众多电脑安全软件中，智量终端安全凭借其人工智能技术脱颖而出。这款国内备受好评的软件，以超轻设计和简洁界面示人，安装简单且后台运行，不占用宝贵资源。智量终端安全以良心品质著称，坚决抵制弹窗、捆绑、广告推送等侵扰，尊重用户隐私，其无文件病毒、零日病毒以及勒索病毒防御能力更是业界翘楚。不同于传统杀毒软件依赖于繁琐的特征码更新，智量采用流式更新技术，能在短短几秒钟内完成病毒库升级，确保病毒来袭时能迅速响应并清除。

       与火绒安全软件并肩，智量终端安全和火绒形成了一对黄金搭档。虽然智量在主防方面稍显不足，但火绒的超强防御和广告拦截功能弥补了这一短板。反之，火绒的查杀率虽低，智量却以优异的查杀能力弥补，两者在运行时互不干扰，相得益彰。对于零日病毒和高级勒索病毒，智量的人工智能技术具备独特的应对策略，包括勒索病毒行为检测、诱捕、文档保护和勒索回滚，以及全天候未知威胁检测，确保了全方位的防护。

       智量终端安全的特色功能深得人心：独一无二的指令追踪技术，深入到应用程序底层，有效识别和防御白加黑攻击和DLL注入威胁。其反勒索功能更是强大，%的勒索软件难逃智量的静态扫描，动态行为分析能更早阻断恶意行为。自定义的文档保护和勒索回滚，结合诱捕机制，几乎能%抵御勒索软件的侵扰。

       隐私保护是智量的另一大亮点。针对数据窃取木马，智量在行为防御和内存防护上建立多层模型，全面覆盖各种家族，强化对摄像头、录音设备的防护，通过脚本行为分析，确保用户数据安全。内存防护功能对高级威胁，如 Reflective DLL Injection 等，都能精准查杀，强化对PowerShell等工具的高级攻击检测，保障用户免受诸如Gh0st、CobaltStrike等远程操控的侵害。

       总而言之，智量终端安全与火绒的结合，为用户提供了卓越的保护，是追求安全、高效电脑生活的理想选择。威航软件园提供最新版本下载，让我们一起体验这款智能安全软件的强大防护吧！