各校内师生：

近日，国内检测到”RdPack”的病毒正在快速传播，该病毒将文件名伪装成娱乐热点（景甜张继科聊天记录曝光.exe）的方式在微信群中大肆传播，经分析发现，运行病毒后会释放并静默执行RdViewer远控软件，黑客可通过RdViewer远控软件来操控受害者终端，并且执行恶意行为如：文件窃取、监控麦克风、摄像头等恶意功能。请校内师生保持警惕。

一、病毒信息：

该病毒文件“景甜张继科聊天记录曝光.exe”运行之后，会将RdViewer远控软件释放到”C:\Program Files\FileName”目录下，火绒剑监控到的行为，如下图所示：

火绒剑行为监控

通过RdClient.exe远控签名信息，可知该程序为RdViewer远控软件，运行后通过执行”不断网安装.vbs”脚本来静默安装RdViewer，并添加系统服务来进行持久化操作，服务名为Rd_service。当计算机启动时RdViewer会静默启动，相关服务信息如下图所示：

相关服务信息图

黑客可通过RdViewer远控软件来操控受害者终端，并且执行恶意行为如：文件窃取、监控麦克风、摄像头等恶意功能。

二、处置建议：

1、时刻注意群聊中发送的陌生文件，建议先查杀再使用；

2、建议安装杀毒安全软件，对上述病毒进行拦截查杀；

3、已中毒的用户，可使用杀毒安全软件查杀该病毒。

网络中心联系电话：5288017、5288023

网络中心

2023年4月23日