[搬运][威胁情报]疑似远控病毒捆绑在HMCL启动器并在Q群传播

此帖来自https://klpbbs.com/thread-89954-1-1.html

日常无聊逛Q群时发现了一个奇怪的文件------



这玩意看起来是不是和普通的HMCL启动器并无不同？但其实，这是一个捆绑了远控木马的HMCL。

微步云沙箱报告：



病毒行为：运行该“启动器”后它会将自身复制到C:\Windows 目录下，如图所示



然后释放出远控本体“inc.exe”和正常的HMCL启动器并运行（没安装杀毒软件的视角就只是运行了HMCL启动器，丝毫感受不出任何异常）



最后远控病毒外联控制端,系统被控制





该样本目前（2023.2.11）火绒无法查杀：



，请不要下载来源不明的启动器。

补救措施：检查C:\Windows下是否存在“inc.exe”文件，如有，请删除。

教训：
1.不下载运行来历不明的启动器。
2.不随意相信所谓的“软件会被杀毒软件误报”而关闭杀毒软件。

附上hmcl官方下载地址：下载 - Hello Minecraft! Launcher (huangyuhui.net)

其实吧看一下内存就知道了

建议下载一些从不明网站的软件先拆包看看有什么问题
在做决定