近日,火絨工程師發現2345旗下“多特下載站”的下載器(高速下載)正在實施傳播木馬程序的惡意行為。用戶下載運行該下載器後,會立即被靜默植入一款名為“commander”的木馬程序,該木馬程序會在後臺運行,並根據雲控配置推送彈窗廣告和流氓軟件。即使用戶關閉下載器,“commander”仍然會一直駐留用戶系統。同時,該下載器還會釋放病毒劫持用戶瀏覽器首頁,用以推廣廣告程序。
目前,火絨安全軟件最新版已對該下載器與“commander”軟件相關惡意與流氓模塊進行攔截查殺。
火絨工程師對木馬程序 “commander”進行分析後發現,該程序會在用戶不知情下被靜默安裝至電腦中,並在開始菜單、桌面等位置均沒有創建相關的啟動快捷方式,導致用戶難以發現該軟件的存在;同時,其廣告推廣模塊會在後臺偷偷運行,不停的進行廣告推送、靜默推廣其它軟件,嚴重影響了用戶正常使用電腦。為了躲避安全軟件的查殺,該木馬程序還會主動檢測用戶電腦中是否安裝安全軟件和工具。
截至目前,被“commander”木馬程序靜默推廣的軟件共有9款,包括趣壓、拷貝兔、小白看圖等,且這些被靜默安裝的軟件與“commander”木馬程序系同源流氓軟件。
事實上,木馬程序、流氓軟件與類似“多特”這樣的下載站之間早已形成了一條完整的黑色產業鏈:下載站通過木馬程序、病毒,來靜默推廣流氓軟件,以此獲取軟件廠商提供的利益;流氓軟件被傳播到用戶電腦後,也會實施捆綁、彈窗等惡意推廣其它軟件的行為,從中獲取利潤。一旦用戶下載此類下載器或流氓軟件,就會陷入“瘋狂”的被靜默安裝與推廣的陷阱中。
在此,火絨工程師提醒廣大用戶,一定要通過官網等正規渠道下載軟件,謹慎使用下載站等第三方下載器下載軟件,必要時可先使用可靠的安全軟件對其進行掃描後再使用。同時,我們呼籲廣大下載站,尊重用戶權益,合理逐利,對於任何侵犯用戶權益的流氓、病毒軟件以及下載器,火絨都會及時進行攔截查殺。
閱讀更多 火絨安全實驗室 的文章
