之前看到各种假冒网站都是引流到云盘下载赚取费用,我都没怎么在意,
今天突然发现有个木马直接伪装成火绒官网,这操作把我都看呆了,现在做木马都这么嚣张了吗?
在Bing搜索火绒结果如下,真火绒下面那个就是假火绒
假火绒网站做的很真实,所有按钮都是可正常点击的。这是咋做到的呢?其实都不用看源码,这显然是直接download火绒官网的(比如IDM就能下载整个网站),然后稍微改一下就能部署成假冒网站
那为什么这个假冒网站会排名如何靠前呢?——因为假火绒网站做了SEO优化(搜索引擎收录排名优化),我都在想,如果不被发现,过段时间,假火绒估计会出现在真火绒前面
真火绒whois注册信息是企业,假火绒注册信息是个人
真假火绒网站注册信息
从假火绒官网下载下来的是压缩包,并且体积是102M。这就很有意思,杀毒软件通常会跳过扫描大于100M的压缩包,而且许多在线杀毒网站也要求上传文件小于100M。两头堵,木马作者显然用心了。
我们解压看看,好家伙,图标是应用宝,咋不伪装为火绒吗?
拿到沙箱跑一下,如下图,又是用远程,又是提权、注入,还检测沙箱,加入windows defender白名单
这妥妥的银狐木马(用于远程窃取信息的木马)没跑
以上行为基本可断定为远木马
木马还做了加入windows defender白名单的操作
奇怪的是,银狐木马通常用于盗窃企业信息且长期潜伏,为什么这个木马这么明目张胆放出假官网呢?
我猜测其中一种途径是,黑客已经获得某些公司个别员工邮箱或其他联系方式,通过发邮件等方式,诱导员工(尤其是财务人员)去下载伪装成火绒的木马。
但是没想到的是假网站排名太靠前,马上就暴露了
最后提醒盒友们,下载火绒要认准官网
更多游戏资讯请关注:电玩帮游戏资讯专区
电玩帮图文攻略 www.vgover.com
![[繁星攻略组]《暗区突围:无限》新赛季信息汇总(第三期)](https://imgheybox1.max-c.com/bbs/2026/03/13/e79cdfbe9418a54204ccded17fff84c6.jpeg?imageMogr2/auto-orient/ignore-error/1/format/jpg/thumbnail/398x679%3E)