Minecraft(我的世界)小黑论坛——我的世界JAVA版，我的世界基岩版，我的世界资源网，我的世界玩家论坛，我的世界手机版，基岩版论坛，我的世界电脑版，我的世界国际版

标题: [搬运][威胁情报]疑似远控病毒捆绑在HMCL启动器并在Q群传播 [打印本页]

作者: 小永高吖 时间: 2023-2-11 22:11
标题: [搬运][威胁情报]疑似远控病毒捆绑在HMCL启动器并在Q群传播
此帖来自https://klpbbs.com/thread-89954-1-1.html

日常无聊逛Q群时发现了一个奇怪的文件------

[attach]3834[/attach]

这玩意看起来是不是和普通的HMCL启动器并无不同？但其实，这是一个捆绑了远控木马的HMCL。

微步云沙箱报告：

[attach]3835[/attach]

病毒行为：运行该“启动器”后它会将自身复制到C:\Windows 目录下，如图所示

[attach]3836[/attach]

然后释放出远控本体“inc.exe”和正常的HMCL启动器并运行（没安装杀毒软件的视角就只是运行了HMCL启动器，丝毫感受不出任何异常）

[attach]3837[/attach]

最后远控病毒外联控制端,系统被控制

[attach]3838[/attach]

[attach]3839[/attach]

该样本目前（2023.2.11）火绒无法查杀：

[attach]3840[/attach]

，请不要下载来源不明的启动器。

补救措施：检查C:\Windows下是否存在“inc.exe”文件，如有，请删除。

教训：
1.不下载运行来历不明的启动器。
2.不随意相信所谓的“软件会被杀毒软件误报”而关闭杀毒软件。

附上hmcl官方下载地址：下载 - Hello Minecraft! Launcher (huangyuhui.net)

作者: 千古罪人零 时间: 2023-2-11 22:16
其实吧看一下内存就知道了

作者: 狐狸小姐 时间: 2023-2-11 22:59
建议下载一些从不明网站的软件先拆包看看有什么问题
在做决定

欢迎光临 Minecraft(我的世界)小黑论坛——我的世界JAVA版，我的世界基岩版，我的世界资源网，我的世界玩家论坛，我的世界手机版，基岩版论坛，我的世界电脑版，我的世界国际版 (https://forum.blmcpia.com/)