这是一个网络钓鱼病毒的案例,用户会通过即时通讯工具收到类似下图消息(一般在群里),病毒可能会在受害者电脑上安装IP-Guard用于远程受害者电脑。
这个用户执行了程序被安装了这一组白加黑恶意文件(可能需要打开查看隐藏文件等配置才能查看到)。
C:\Users\Public\Downloads\1.dll
C:\Users\Public\Downloads\QQgames.exe
这个病毒会在用户电脑上安装IP-Guard,如果存在IP-Guard会有下面这些文件。
C:\Program Files (x86)\Common Files\System\Agt3Tool.exe
C:\Program Files (x86)\Common Files\System\winrdgv3.exe
C:\Program Files (x86)\Common Files\System\PolicyImportTool.exe
C:\Windows\Agt3Tool.exe
C:\Windows\SysWOW64\THttpServer.exe
C:\Windows\SysWOW64\PerformanceTool.exe
C:\Windows\System32\winrdlv3.exe
C:\Windows\SysWOW64\winrdlv3.exe
C:\Windows\SysWOW64\winoav3.dll
C:\Windows\SysWOW64\ONacAgent.exe
C:\Windows\SysWOW64\ONacAgent.exe
C:\Windows\SysWOW64\Agt3Tool.exe
C:\Windows\bakoav3.sys
C:\Windows\bakrdlv3.sys
C:\Windows\bakrdlv364.sys
C:\Windows\SysWOW64\bakrdgv3.sys
C:\Windows\SysWOW64\winoav3.dll
C:\Windows\SysWOW64\winrdlv3.exe
bak*.sys 系统目录存在大量这种驱动
后续会在电脑中截图,截图会保存在下面目录。当攻击者通过截图发现有用价值后进一步操作受害者电脑(例如:冒充领导转账)。
C:\ProgramData\AnonymousScreenShot\