日前,火絨安全團隊發現某商業公司製作的流量劫持病毒"FakeExtent"(產品名為"天馨氣象"),正通過"WIN7之家"等下載站中的多款激活工具大範圍傳播。該病毒入侵電腦後,會釋放多個惡意插件,篡改系統配置、劫持流量。 通過"火絨威脅情報系統"監測和評估,已有數十萬臺電腦被該病毒感染。
目前,國內外安全軟件僅對該病毒進行查殺,並不查殺該病毒植入的某些惡意插件,這導致被感染用戶在主病毒被殺之後,依然面臨被攻擊的風險。2015年,360安全團隊曾曝光過該病毒團伙,之後該團伙有所收斂,最近他們重出江湖,並利用激活工具傳播病毒。
"火絨安全軟件"無需升級即可查殺該病毒,建議近期下載過下述軟件的用戶,儘快使用"火絨安全軟件"對電腦進行掃描查殺。
火絨工程師分析發現,病毒作者將病毒"FakeExtent"植入到 "KMSTools"、"暴風激活工具V17.0"等軟件激活工具中,並上傳到 "WIN7之家"等下載站中,用戶一旦下載並運行上述軟件,該病毒就會感染電腦,向用戶瀏覽器中安裝名為"天馨氣象"和"星馳天氣助手"病毒插件。並向IE瀏覽器中添加BHO插件。
上述惡意插件進入用戶電腦後,將會劫持瀏覽器流量、網頁廣告彈窗以及將下載的安裝包替換為病毒作者提供的渠道包,然後掛上和上游公司分成的計費名,以和其分成。
火絨工程師發現BHO插件帶有"上海旻嘟網絡科技有限公司"簽名,截至發稿,除火絨外,仍沒有安全廠商對該插件報毒。
根據火絨工程師溯源分析,此次火絨發現的病毒插件與2015年就被曝光過的病毒插件"叮叮天氣"公司法人信息基本一致,可以確認為同一個病毒製作團伙所為。
分享到:
閱讀更多 火絨安全實驗室 的文章
