火絨安全團隊發現,病毒團伙正利用"遠景"論壇的系統鏡像文件傳播後門病毒"WenkPico"。該病毒入侵用戶電腦後,會劫持導航站、購物網站以及軟件安裝包流量,牟取暴利。同時該病毒還利用國內某安全廠商的產品功能模塊,攻擊其它安全軟件,讓部分安全軟件的"雲查殺"功能失效,使用戶電腦失去安全防護。
火絨工程師分析發現,病毒團伙將病毒嵌入在系統鏡像文件中,當用戶從"遠景"論壇中下載安裝這些系統鏡像文件後,就會運行病毒。建議近期下載該系統鏡像文件的用戶,儘快查看電腦C:\\windows\\system32\\drivers目錄,如果出現名為EaseFlt.sys和adgnetworkdrvw.sys的驅動文件,則表明已經中毒,可使用 "火絨專殺工具"徹底查殺該病毒。
病毒侵入用戶電腦後,會通過多種方式劫持流量,牟取利益:將用戶的導航劫持為Hao123或2345導航頁;讓用戶訪問購物網站時跳轉到購物返利的鏈接中(受影響的購物網站如下圖);還會劫持用戶下載軟件的地址,並替換為病毒團伙上傳的軟件渠道包。病毒團伙可隨時通過C&C服務器更改被劫持的軟件下載地址,不排除未來會向用戶電腦派發更具威脅性病毒的可能性。
更可怕的是,該病毒利用了國內安全廠商軟件模塊,可阻止國內外主流安全軟件聯網查殺(受影響安全軟件如下圖),對依賴"雲查殺"的360安全衛士影響較大,使雲查殺功能失效,並且阻止安全軟件上傳病毒樣本;對卡巴斯基等具備本地殺毒引擎的安全軟件影響較小。火絨用戶無需擔心,"火絨產品(個人版、企業版)"使用自研新引擎,斷網環境下,殺毒能力不受任何影響。
最終,通過技術溯源發現,該病毒利用的軟件模塊帶有的數字簽名為"Shandong Anzai Information Technology CO.,Ltd."("山東安在信息技術有限公司"),建議該公司儘快排查。
閱讀更多 火絨安全實驗室 的文章
