不知道是什么时候起的,我开电脑的时候会弹出一个提示“系统错误,无法启动此程序,因为计算机中丢失QiDianBrowserMgr.dll”。我一开始不觉得这是个大问题,以为就跟以前一样,我只要去下载一个dll文件就可以了。但当我下载完之后,又继续提示我缺少其他的dll文件。而且我在网上搜索Agghosts.exe,也不知道这个到底是干什么的。
在网上搜索了下这个dll文件,也没什么结果,有个金山毒霸的网页给出的解决方案就是去网上下载一个qidianbrowsermgr.dll文件,并放到system32里去。这个方法已经试过了,没得用。
后续我在C盘下找到一个文件夹“asfqpq”,里面有3个文件:agghosts.exe,Enpud.png和vcruntime140.dll。
而当我谷歌了一下之后,发现这个Enpud.png很可能是个木马病毒。根据安恒信息中央研究院猎影实验室的信息,某个黑灰产团伙针对国内用户进行SEO投毒攻击,团伙通过购买搜索引擎广告,将多个伪造的软件下载页面置顶于搜索结果中,攻击者通过将恶意软件与正常软件捆绑在安装包中,运行后在显示正常的安装包的同时,执行恶意软件。经分析捕获的样本发现,样本版本更新速度快,执行流程复杂,采用多种手法对抗检测和调试,最终将加载FatalRAT窃取用户敏感信息。
样本下载后将运行正常的WPS安装包和木马加载器,木马加载器首先读取资源节数据,使用自定义异或算法将资源数据解密。并在C:\Users\Public\Videos\study06目录下分别写入并调用1.dll、2.dll和3.dll,其中1.dll和2.dll使用vmp加壳保护,1.dll运行后将通过调用IpRealeaseAddress释放主机ip,使得主机无法联网,2.dll将检测主机是否联网,如果联网则进入循环直至再次无法联网,无法联网时将释放并运行恶意文件,随后3.dll通过IpRenewAddress恢复主机网络。这一过程即能触发沙箱的防断网机制,使其在沙箱中无法继续运行,又能够绕过杀毒软件的云查杀。
而我查看了自己电脑上该路径下没有对应的文件夹,但是这个agghost和Enpud.png又确实存在。保险起见,我还是决定把这个文件夹下的东西全部删掉。
删掉以后重启电脑,果然是没有再出现那个提示了。以后还是尽量用正版软件吧,盗版的还是有风险的。
参考:https://starmap.dbappsecurity.com.cn/blog/articles/2023/07/31/grp-ly-1003/
