注意!某知名國產(chǎn)軟件被曝?cái)y帶木馬病毒
據(jù)火絨威脅情報(bào)系統(tǒng)監(jiān)測(cè),火絨工程師發(fā)現(xiàn)奇客PDF轉(zhuǎn)換器攜帶惡意代理模塊,正在通過下載站下載器進(jìn)行推廣。
據(jù)了解,近期火絨接到許多用戶反饋稱電腦會(huì)莫名卡頓,CPU占用率高。
且進(jìn)程svchost.exe、FnClientService.exe、FnClientService20.exe之一會(huì)訪問大量的陌生網(wǎng)址。
最終經(jīng)工程師分析發(fā)現(xiàn),用戶電腦出現(xiàn)此現(xiàn)象正是由于安裝奇客PDF轉(zhuǎn)換器所導(dǎo)致的。
火絨工程師分析發(fā)現(xiàn),奇客PDF轉(zhuǎn)換器主要是通過下載站的下載器進(jìn)行靜默傳播推廣。
然后,在用戶安裝軟件的過程中,它就會(huì)釋放惡意代理模塊到%appdata%\tx目錄。
簡單來說,就是該軟件攜帶的惡意代理模塊會(huì)在不被用戶發(fā)現(xiàn)的情況下,利用用戶電腦訪問大量的陌生網(wǎng)址,導(dǎo)致用戶電腦CPU占用率變高,系統(tǒng)變得卡頓。
并且,即使用戶卸載奇客PDF轉(zhuǎn)換器,其惡意代理模塊也不會(huì)被隨之刪除,而是作為系統(tǒng)服務(wù),開機(jī)自啟,達(dá)到永久駐留在用戶電腦中的目的。
另外,火絨還發(fā)現(xiàn)了若干版本的奇客PDF轉(zhuǎn)換器與其釋放的惡意代理模塊。
無論是何種版本的惡意模塊,其功能代碼都極為相似。
經(jīng)過溯源分析發(fā)現(xiàn),奇客PDF轉(zhuǎn)換器安裝包及其釋放的惡意代理模塊svchost.exe的均來自于杭州某科技有限公司。簽名信息如下圖所示:
該公司旗下網(wǎng)站“ZL軟件”則主要經(jīng)營流量代理服務(wù)。
對(duì)于某些垃圾軟件下載站的靜默推廣行為,大家應(yīng)該都非常熟悉了。
當(dāng)我們?cè)谀硞€(gè)資源網(wǎng)站下載軟件時(shí),如果點(diǎn)擊了高速下載,那么下載的可能并非是軟件本身,而是所謂的“高速下載器”。
而這種下載器,很可能會(huì)在用戶后臺(tái)捆綁安裝大量垃圾軟件,這就叫作靜默推廣。
此前在國內(nèi)爆發(fā)的「麻辣香鍋」病毒,也是與某些垃圾系統(tǒng)下載站達(dá)成合作,在這些下載站推廣帶毒的工具和系統(tǒng)。
這次中招的奇客PDF轉(zhuǎn)換器,同樣是通過這種方式進(jìn)行傳播的。
當(dāng)用戶安裝這個(gè)軟件后,則會(huì)中毒并淪為攻擊者的肉雞,用戶卻很難發(fā)現(xiàn)。
火絨稱,目前,該惡意軟件僅單日侵?jǐn)_用戶量就達(dá)數(shù)萬,請(qǐng)大家小心防范。
目前火絨安全軟件已經(jīng)升級(jí)病毒庫可對(duì)奇客轉(zhuǎn)換器進(jìn)行查殺,如果大家曾經(jīng)使用過該轉(zhuǎn)換器,建議進(jìn)行查殺確保安全。
來源:擴(kuò)展迷EXTFANS
回復(fù) 【關(guān)閉】學(xué)關(guān)閉微信朋友圈廣告 回復(fù) 【實(shí)戰(zhàn)】獲取20套實(shí)戰(zhàn)源碼 回復(fù) 【被刪】學(xué)查看你哪個(gè)好友刪除了你巧 回復(fù) 【訪客】學(xué)微信查看朋友圈訪客記錄 回復(fù) 【小程序】學(xué)獲取15套【入門+實(shí)戰(zhàn)+賺錢】小程序源碼 回復(fù) 【python】學(xué)微獲取全套0基礎(chǔ)Python知識(shí)手冊(cè) 回復(fù) 【2019】獲取2019 .NET 開發(fā)者峰會(huì)資料PPT 回復(fù) 【加群】加入dotnet微信交流群 
技巧:微信可以設(shè)置雪花昵稱了!
臥槽:微信又能免費(fèi)提現(xiàn)了!