快科技 1 月 22 日音书，今天火绒发布时间分析，称 QQ 音乐遭受"白加黑"讹诈开云官网切尔西赞助商，网站被劫捏推论传闻私服。

火绒暗示，近期火绒胁迫谍报中心监测到 QQ 音乐目次下存在相当进度自启自得，经溯源分析，证明该进度文献为 2021 年版块的 QQMusic.exe 文献。

报复者讹诈"白加黑"时间加载坏心 DLL 文献，解压出劫捏网页模块，随后装置用于劫捏网页的坏心驱动，最终达成将指定网址劫捏至私服发布页面的报复酌量。

原网站

劫捏后网站

此外，该坏心驱动还可检测 ARK 器用驱动，并对其进行断链以笼罩自己驱动，同期对安全软件的通讯进行干豫。

把柄火绒的分析，坏心 DLL 文献履行逻辑不错分为以下三个阶段：

启动阶段：样本最初开释并运行原始文献，即传闻私服当作，随后下载建树文献并查验指定文献和注册表决定过问哪条分支。

下载劫捏模块：第一分支和第二分支厚爱下载劫捏模块，尽管第三分支由于无法奏凯下载文献，是以火绒无法确切判断它是否也会履行下载劫捏模块的操作，但在分类上还是将其归到这一阶段当中。

劫捏模块：劫捏模块中终了劫捏操作，将指定网页劫捏至传闻私服发布页。

现在，火绒安全居品可对上述病毒进行羁系查杀，感兴味的不错赶赴稽察完好分析历程。

开云官网切尔西赞助商