各校内师生:
近日,国内检测到”RdPack”的病毒正在快速传播,该病毒将文件名伪装成娱乐热点(景甜张继科聊天记录曝光.exe)的方式在微信群中大肆传播,经分析发现,运行病毒后会释放并静默执行RdViewer远控软件,黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能。请校内师生保持警惕。
一、病毒信息:
该病毒文件“景甜张继科聊天记录曝光.exe”运行之后,会将RdViewer远控软件释放到”C:\Program Files\FileName”目录下,火绒剑监控到的行为,如下图所示:
火绒剑行为监控
通过RdClient.exe远控签名信息,可知该程序为RdViewer远控软件,运行后通过执行”不断网安装.vbs”脚本来静默安装RdViewer,并添加系统服务来进行持久化操作,服务名为Rd_service。当计算机启动时RdViewer会静默启动,相关服务信息如下图所示:
相关服务信息图
黑客可通过RdViewer远控软件来操控受害者终端,并且执行恶意行为如:文件窃取、监控麦克风、摄像头等恶意功能。
二、处置建议:
1、时刻注意群聊中发送的陌生文件,建议先查杀再使用;
2、建议安装杀毒安全软件,对上述病毒进行拦截查杀;
3、已中毒的用户,可使用杀毒安全软件查杀该病毒。
网络中心联系电话:5288017、5288023
网络中心
2023年4月23日
