注意!某知名國產軟件被曝攜帶木馬病毒
來源:擴展迷EXTFANS
據(jù)火絨威脅情報系統(tǒng)監(jiān)測,火絨工程師發(fā)現(xiàn)奇客PDF轉換器攜帶惡意代理模塊,正在通過下載站下載器進行推廣。
據(jù)了解,近期火絨接到許多用戶反饋稱電腦會莫名卡頓,CPU占用率高。
且進程svchost.exe、FnClientService.exe、FnClientService20.exe之一會訪問大量的陌生網址。
最終經工程師分析發(fā)現(xiàn),用戶電腦出現(xiàn)此現(xiàn)象正是由于安裝奇客PDF轉換器所導致的。
火絨工程師分析發(fā)現(xiàn),奇客PDF轉換器主要是通過下載站的下載器進行靜默傳播推廣。
然后,在用戶安裝軟件的過程中,它就會釋放惡意代理模塊到%appdata%\tx目錄。
簡單來說,就是該軟件攜帶的惡意代理模塊會在不被用戶發(fā)現(xiàn)的情況下,利用用戶電腦訪問大量的陌生網址,導致用戶電腦CPU占用率變高,系統(tǒng)變得卡頓。
并且,即使用戶卸載奇客PDF轉換器,其惡意代理模塊也不會被隨之刪除,而是作為系統(tǒng)服務,開機自啟,達到永久駐留在用戶電腦中的目的。
另外,火絨還發(fā)現(xiàn)了若干版本的奇客PDF轉換器與其釋放的惡意代理模塊。
無論是何種版本的惡意模塊,其功能代碼都極為相似。
經過溯源分析發(fā)現(xiàn),奇客PDF轉換器安裝包及其釋放的惡意代理模塊svchost.exe的均來自于杭州某科技有限公司。簽名信息如下圖所示:
該公司旗下網站“ZL軟件”則主要經營流量代理服務。
對于某些垃圾軟件下載站的靜默推廣行為,大家應該都非常熟悉了。
當我們在某個資源網站下載軟件時,如果點擊了高速下載,那么下載的可能并非是軟件本身,而是所謂的“高速下載器”。
而這種下載器,很可能會在用戶后臺捆綁安裝大量垃圾軟件,這就叫作靜默推廣。
此前在國內爆發(fā)的「麻辣香鍋」病毒,也是與某些垃圾系統(tǒng)下載站達成合作,在這些下載站推廣帶毒的工具和系統(tǒng)。
這次中招的奇客PDF轉換器,同樣是通過這種方式進行傳播的。
當用戶安裝這個軟件后,則會中毒并淪為攻擊者的肉雞,用戶卻很難發(fā)現(xiàn)。
火絨稱,目前,該惡意軟件僅單日侵擾用戶量就達數(shù)萬,請大家小心防范。
目前火絨安全軟件已經升級病毒庫可對奇客轉換器進行查殺,如果大家曾經使用過該轉換器,建議進行查殺確保安全。
往期推薦
2021大廠算法面試必考100題最新匯總(附答案詳解)
縱觀20年間程序員薪酬變化:漲幅下降,初級編碼崗大幅消失
大廠對學歷的要求是什么?如果學歷不夠,有這些補救的辦法!
直面Java第343期:為什么TOMCAT要破壞雙親委派
深入并發(fā)第013期:拓展synchronized——鎖優(yōu)化