360xp专版(360rp.exe)

前沿拓展:

360xp专版

不能升级,只能在网上搜索“360XP专版安全卫士”在查询出来的网页中选择一个打开,下载安装即可


该**不具备任何激活功能,一旦**入侵用户电脑,会立即劫持浏览器首页,同时还会静默安装360安全浏览器和2345浏览器,进而牟利。另外,该**还会通过内核级对抗手段躲避安全软件查杀。

一、概述

60xp专版(360rp.exe)"60xp专版(360rp.exe)"

“火绒产品(个人版、企业版)”最新版即可查杀该**,建议近期访问过该网站下载软件的用户,尽快使用”火绒产品”对电脑进行扫描查杀。

二、样本分析

该**会将自身伪装成系统激活工具,并通过自己搭建的激活工具下载站点进行传播。与以往的所见到的同类样本不同,该**除了会执行**行为外,不具有任何激活功能。**下载站点,如下图所示:

60xp专版(360rp.exe)"

**下载站点

如上图所示,该页面中的激活工具下载链接众多。但是通过测试,我们发现在用户点击下载后最终跳转到的下载地址均为hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe,即用户通过任一下载链接下载到的均为同一**样本。该**样本为AutoIt安装包,通过**脚本逻辑运行**文件及静默软件安装包。**脚本,如下图所示:

60xp专版(360rp.exe)"

**AutoIt脚本

被该**推广的软件包括:360安全浏览器和2345浏览器。被推广的软件安装包文件信息,如下图所示:

60xp专版(360rp.exe)"

360浏览器安装包文件信息

60xp专版(360rp.exe)"

2345浏览器安装包

**在推广软件的同时还会释放Rootkit**劫持浏览器首页,驱动文件名为随机名且没有扩展名,驱动文件还会通过内核级对抗手段躲避安全软件查杀。Rootkit**文件,如下图所示:

60xp专版(360rp.exe)"

**文件

该**被加载后会强行劫持用户首页为2345网址导航(hxxp://www.iw121.com),被劫持后的首页情况,如下图所示:

60xp专版(360rp.exe)"

被劫持后的浏览器首页

综上,火绒建议广大用户使用正版**作系统,在安装系统后优先安装安全软件,从而避免感染此类**。

三、附录

文中涉及样本SHA256:

拓展知识:

360xp专版

只是WIN XP不再提供维护,
建议安装win7或者win8
硬盘安装win7的图文教程:http://jingyan.baidu.com/article/020278118d7fe31bcd9ce55c.html
硬盘安装win8的图文教程:http://jingyan.baidu.com/article/cbcede07cfe1ef02f50b4d63.html

360xp专版

不升级就下载360。不更新xp,7和8继续提供更新

360xp专版

http://windows.microsoft.com/zh-CN/windows/products/lifecycle?T1=winxp请你自己看Windows生命周期说明书!

360xp专版

只是对xp不提供保护了,7,8,8.1这些会继续提供保护的,xp要退役了,不管他了

360xp专版

后来难以理解暴露发过去正在几乎他

原创文章,作者:九贤生活小编,如若转载,请注明出处:http://www.wangguangwei.com/55996.html