注意！某知名國(guó)產(chǎn)軟件被曝?cái)y帶木馬病毒

關(guān)注我們,設(shè)為星標(biāo),每天7:30不見不散,架構(gòu)路上與您共享 
回復(fù)"架構(gòu)師"獲取資源

據(jù)火絨威脅情報(bào)系統(tǒng)監(jiān)測(cè)，火絨工程師發(fā)現(xiàn)奇客PDF轉(zhuǎn)換器攜帶惡意代理模塊，正在通過下載站下載器進(jìn)行推廣。

據(jù)了解，近期火絨接到許多用戶反饋稱電腦會(huì)莫名卡頓，CPU占用率高。

且進(jìn)程svchost.exe、FnClientService.exe、FnClientService20.exe之一會(huì)訪問大量的陌生網(wǎng)址。

最終經(jīng)工程師分析發(fā)現(xiàn)，用戶電腦出現(xiàn)此現(xiàn)象正是由于安裝奇客PDF轉(zhuǎn)換器所導(dǎo)致的。

火絨工程師分析發(fā)現(xiàn)，奇客PDF轉(zhuǎn)換器主要是通過下載站的下載器進(jìn)行靜默傳播推廣。

然后，在用戶安裝軟件的過程中，它就會(huì)釋放惡意代理模塊到%appdata%\tx目錄。

簡(jiǎn)單來說，就是該軟件攜帶的惡意代理模塊會(huì)在不被用戶發(fā)現(xiàn)的情況下，利用用戶電腦訪問大量的陌生網(wǎng)址，導(dǎo)致用戶電腦CPU占用率變高，系統(tǒng)變得卡頓。

并且，即使用戶卸載奇客PDF轉(zhuǎn)換器，其惡意代理模塊也不會(huì)被隨之刪除，而是作為系統(tǒng)服務(wù)，開機(jī)自啟，達(dá)到永久駐留在用戶電腦中的目的。

另外，火絨還發(fā)現(xiàn)了若干版本的奇客PDF轉(zhuǎn)換器與其釋放的惡意代理模塊。

無論是何種版本的惡意模塊，其功能代碼都極為相似。

經(jīng)過溯源分析發(fā)現(xiàn)，奇客PDF轉(zhuǎn)換器安裝包及其釋放的惡意代理模塊svchost.exe的均來自于杭州某科技有限公司。簽名信息如下圖所示：

該公司旗下網(wǎng)站“ZL軟件”則主要經(jīng)營(yíng)流量代理服務(wù)。

對(duì)于某些垃圾軟件下載站的靜默推廣行為，大家應(yīng)該都非常熟悉了。

當(dāng)我們?cè)谀硞€(gè)資源網(wǎng)站下載軟件時(shí)，如果點(diǎn)擊了高速下載，那么下載的可能并非是軟件本身，而是所謂的“高速下載器”。

而這種下載器，很可能會(huì)在用戶后臺(tái)捆綁安裝大量垃圾軟件，這就叫作靜默推廣。

此前在國(guó)內(nèi)爆發(fā)的「麻辣香鍋」病毒，也是與某些垃圾系統(tǒng)下載站達(dá)成合作，在這些下載站推廣帶毒的工具和系統(tǒng)。

這次中招的奇客PDF轉(zhuǎn)換器，同樣是通過這種方式進(jìn)行傳播的。

當(dāng)用戶安裝這個(gè)軟件后，則會(huì)中毒并淪為攻擊者的肉雞，用戶卻很難發(fā)現(xiàn)。

火絨稱，目前，該惡意軟件僅單日侵?jǐn)_用戶量就達(dá)數(shù)萬(wàn)，請(qǐng)大家小心防范。

目前火絨安全軟件已經(jīng)升級(jí)病毒庫(kù)可對(duì)奇客轉(zhuǎn)換器進(jìn)行查殺，如果大家曾經(jīng)使用過該轉(zhuǎn)換器，建議進(jìn)行查殺確保安全。

到此文章就結(jié)束了。如果今天的文章對(duì)你在進(jìn)階架構(gòu)師的路上有新的啟發(fā)和進(jìn)步，歡迎轉(zhuǎn)發(fā)給更多人。歡迎加入架構(gòu)師社區(qū)技術(shù)交流群，眾多大咖帶你進(jìn)階架構(gòu)師，在后臺(tái)回復(fù)“加群”即可入群。

---

這些年小編給你分享過的干貨

《不花錢的IDEA 2020.3.1 最新激活教程，有效期到2099年！》

《Kubernetes的前世今生》

《你們公司的架構(gòu)師是什么樣的？》

《Docker與CI持續(xù)集成/CD持續(xù)部署》

《還有40天,Java 11就要橫空出世了》

《JDK 10 的 109 項(xiàng)新特性》

《學(xué)習(xí)微服務(wù)的十大理由》

轉(zhuǎn)發(fā)在看就是最大的支持??