【安全圈】知名软件火萤视频桌面恶意篡改首页 火绒已拦截

【安全圈】知名软件火萤视频桌面恶意篡改首页 火绒已拦截

　　腾讯视频会员永久软件,会员解析软件,不用会员的禁片软件近期，火绒工程师根据用户反馈，发现火萤视频桌面软件携带恶意组件，执行篡改用户浏览器等恶意行为。由于该软件正在通过其官网和各大下载站进行传播，影响范围较广，根据“火绒威胁情报系统”监测和评估，或已影响超过数百万终端。

　　此外，火绒工程师溯源发现，无论是用户在官网下载火萤视频桌面软件，还是由下载站下载器等渠道推广安装的该软件，其安装包文件的数字签名信息均相同。

　　当用户执行火萤视频桌面卸载程序时，卸载程序会向配置服务器发送请求，根据回文判断是否将winhost.exe删除。如果保留winhost.exe，将在注册表中设置winhost.exe为自启动项。请求报文内容与解密内容，注册表自启设置代码如下图所示：

　　获取配置后，根据bu的值选择4种浏览器之一，并填充相关信息（运行后解密），如：浏览器可执行文件路径，配置文件路径，设置页面链接等。填充配置文件路径，填充浏览器程序路径代码与解密数据如下图所示：