最近一段时间,针对商业领域的病毒HawkEye Keylogger传播量越来越多,来自安全厂商的统计是国内每天有数千个用户受到该病毒攻击影响。它会造成哪些危害呢?是不是跟我们普通人无关呢?别急,请看我们的具体分析!
HawkEye Keylogger的攻击目标起初主要集中在外贸行业,如今病毒有扩散的趋势,各种类型的公司都会被攻击,甚至出现了攻击招聘人员的情况,因此涉及商业办公的人员都是攻击目标,范围还是很大的——它的攻击方式是隐藏在PPT中,然后被上传到邮件的附近中,邮件名称一般含有“账单”、“订单”等诱导性字眼,不少人上当受骗就是看到这些关键词随手点击邮件、下载PPT想看个究竟。
当用户双击或右键点击PPT时(如果通过播放打开PPT,病毒就直接激活了),PPT运行并弹出“MICroSOFt PowerPoint安全声明”窗口,大多数人到了这步就会怀疑PPT的安全性了,少部分人会点击“启用”按钮,如果点击了病毒就会成功运行。
病毒进入电脑后,会干多个坏事,通过ServerInstall线程给远方的黑客发送病毒上线信息、通过StartStealers线程盗取受害者的邮箱、浏览器、比特币等账号和密码(盗取邮箱和浏览器的密码都是利用创建僵尸进程的方式完成的),通过Minecraftsub线程盗取《我的世界》游戏密码,通过PINs线程盗取RuneScape 游戏的个人安全凭证,通过DISAbler线程禁用任务管理器、禁用命令行、禁用msconfig、禁用注册表等系统功能,通过Disablelogger选项决定是否开启键盘记录器……
总的来说,该病毒是一款带有键盘记录器并能盗取邮箱、浏览器、比特币等帐号和密码的高危病毒,最早的版本是2016年出现,后经过不断及时更新,在2017年8月又开始大规模传播,大家要对此类病毒有警惕性!
用批处理删除Payload1.exe文件抹去入侵痕迹
![]() |