非官方火绒剑存在后门风险，请用户谨慎下载使用

使用论坛附件上传样本压缩包时必须使用压缩密码保护，压缩密码:52pojie，否则会导致论坛被杀毒软件等误报，论坛有权随时删除相关附件和帖子！
病毒分析分区附件样本、网址谨慎下载点击，可能对计算机产生破坏，仅供安全人员在法律允许范围内研究，禁止非法用途！
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容，即使对方是非法内容，也应向警方求助！

本帖最后由 火绒安全实验室 于 2024-10-29 19:48 编辑

火绒安全软件自发布以来，软件中的小工具因其实用性而受到用户的广泛关注和喜爱，但各种“独立小工具”也因此层出不穷。近日，我们关注到在某论坛出现了一款未经授权的“火绒剑”独立版本。工程师下载确认后，发现该软件原为火绒安全个人版5.0软件中的“火绒剑”工具，被非法提取后，遭到不法分子的恶意篡改并植入病毒，最终分享至终端用户，会对使用者的终端安全构成严重威胁。
经过沟通，相关论坛已对该分享贴进行删除处理。火绒安全软件今日升级病毒库后将支持查杀该样本，请广大用户及时更新病毒库。

Image-0.png (380.73 KB, 下载次数: 0)

下载附件

2024-10-29 19:38 上传

相关论坛分享页面

Image-1.png (32.88 KB, 下载次数: 0)

下载附件

2024-10-29 19:39 上传

火绒安全软件6.0查杀截图

在此，火绒安全团队严正声明：火绒安全官方并未推出或授权任何独立版工具。并且所有非官方渠道发布的软件，其安全性和可靠性均无法得到保证。我们强烈建议各位用户通过官方途径下载软件，请勿轻信第三方渠道，以免对您的财产和信息造成不可挽回的损失。

针对此类恶意篡改的行为，火绒安全团队保留追究法律责任的权利。我们将采取一切必要的法律措施，以保护我们的用户和公司的合法权益不受侵害。在必要时，我们会考虑报警，以杜绝此类行为的发生。

为了您的终端安全，我们建议您停止使用任何非官方版本的火绒安全相关软件，并通过火绒官网（https://www.huorong.cn/）下载使用官方版本，感谢您的支持。

以下为样本的流程图及简要说明（后续将会发布详细分析报告）：

Image-2.png (40.25 KB, 下载次数: 0)

下载附件

2024-10-29 19:40 上传

流程图

通过对比发现，被篡改文件没有数字签名。

Image-3.png (49.74 KB, 下载次数: 0)

下载附件

2024-10-29 19:40 上传

数字签名对比

当用户下载安装该样本后，被篡改的 uactmon.dll 病毒文件会被 HRSword.exe 程序加载。该 dll 文件在入口函数 dllmain_dispatch 中调用恶意函数，并通过解密函数解密出加载器代码。

Image-4.png (24.57 KB, 下载次数: 0)

下载附件

2024-10-29 19:40 上传

解密加载器代码

随后，加载器解密出恶意 DLL 数据，获取 DLL 并调用 DLL 入口点函数，从而实现加载后门模块。

Image-5.png (39.03 KB, 下载次数: 0)

下载附件

2024-10-29 19:40 上传

加载器函数

在后门模块中，该样本向20.2.66.39 发送 ICMP 报文，并根据返回值来执行相应任务。初步分析任务中包括执行程序、写文件以及类似于文件管理等代码。

Image-6.png (48.87 KB, 下载次数: 0)

下载附件

2024-10-29 19:41 上传

根据返回值执行相应代码

样本HASH：

Image-7.png (11.79 KB, 下载次数: 0)

下载附件

2024-10-29 19:41 上传

火绒安全

2024年10月29日

 

免费评分 参与人数 36吾爱币 +32 热心值 +33 理由

wwwyix   + 1   + 1   我很赞同！  

倒带盲音   + 1   + 1   我很赞同！  

Asuraxss   + 1   + 1   我很赞同！  

kissmizore     + 1   我很赞同！  

Tzhang   + 1   + 1   谢谢@Thanks！  

overnet   + 1     鼓励转贴优秀软件安全工具和文档！  

小tg   + 1   + 1   热心回复！  

sdpaopao   + 1   + 1   用心讨论，共获提升！  

mql0515   + 1   + 1   谢谢@Thanks！  

weidechan     + 1   热心回复！  

wasonglili   + 1   + 1   我很赞同！  

grtiancheng478   + 1   + 1   热心回复！  

yolre     + 1   我很赞同！  

debugok   + 1   + 1   谢谢@Thanks！  

hbezkh   + 1   + 1   谢谢@Thanks！  

搞点什么   + 1   + 1   谢谢@Thanks！  

shengjiaohao   + 1   + 1   我很赞同！  

Tisfy   + 1     谢谢@Thanks！  

ioook   + 1   + 1   用心讨论，共获提升！  

湛蓝冰羽   + 1   + 1   我很赞同！  

cbh139     + 1   用心讨论，共获提升！  

yglll80   + 1   + 1   谢谢@Thanks！  

Bienaoing     + 1   热心回复！  

dizzy0001   + 1   + 1   谢谢@Thanks！  

huiyun     + 1   谢谢@Thanks！  

along7055   + 1   + 1   谢谢@Thanks！  

1045837055lucy   + 2   + 1   谢谢@Thanks！  

移情√似水   + 1   + 1   鼓励转贴优秀软件安全工具和文档！  

回到52像回家   + 1   + 1   个人还是喜欢5.0界面的清爽！  

Sardines     + 1   热心回复！  

teddymvs   + 1     谢谢 @Thanks！  

小六先生   + 1   + 1   谢谢@Thanks！  

Arcticlyc   + 3   + 1   我很赞同！  

c   + 1   + 1   欢迎分析讨论交流，吾爱破解论坛有你更精彩！  

ll090822   + 1   + 1   热心回复！  

STLD   + 1   + 1   谢谢@Thanks！  

查看全部评分