木马程序借助游戏下载站再次传播 可云控投放恶意模块
会见: 阿里云新用户福利专场 云处事器ECS低至102元/年 天翼云年中上云节 云主机1C2G 92元/年 实名注册送8888元大礼包 【快讯】 克日,火绒工程师发明木马措施“commander”借助“游民星空”、“游侠网”下载站,再次大范畴撒播。用户通过上述下载站下载运行高速下载器后,即会传染该木马措施。今朝,火绒最新版已对该木马措施和其推送的恶意模块举办拦截查杀。 火绒工程师说明发明,用户运行下载器后,会被诱导静默安装“风云PDF阅读器”、“高效截图器材”等混混软件,并在开始菜单、桌面等位置均没有建设相干的启动快捷方法,让用户无法发明;同时,这些软件还会携带木马措施“commander”,可通过云控处事器下发弹窗告白等恶意模块。 值得留意的是,该木马措施早在本年三月份,就因通过“多特”下载站下载器举办撒播被火绒拦截披露过(详见陈诉《无控制混混推广 2345旗下下载站正在撒播木马措施》)。 一向以来,通过下载站撒播的病毒反复不绝,火绒就下载站的安详题目也举办过多次的报道、披露,乃至推出拦截下载站下载器的成果,辅佐用户停止风险。在此,火绒工程师提示宽大用户,必然要通过官网等正规渠道下载软件,审慎行使下载站等级三方下载器下载软件。 附:【说明陈诉】 一、 具体说明 近期,火绒发明commander恶意措施再次大面积撒播,本次我们发明会投放commander恶意措施的混混软件包罗:高效截图软件和风云PDF阅读器。与此前我们揭破的混混软件沟通,上述两款软件被静默安装后,在开始菜单、桌面等位置均没有建设相干的启动快捷方法,导致用户难以发明该软件的存在。颠末溯源,我们发明上述混混软件会借助游民星空(hxxp://down.gamersky.com )、游侠网下载站(hxxp://down.ali213.net)举办推广。恶意举动撒播与执行流程,如下图所示:
更故意思的是,游民星空与游侠网下载站所行使的下载器文件hash值完全沟通。下载器文件信息,如下图所示:
下载器界面
如上图,下载器界面会诱导用户点击“保举安装”按钮,且未设有效于打消软件推广的勾选项。在点击“保举安装”按钮后,除上图已给出的软件外,还会静默推广安装更多混混软件,如:风云PDF阅读器、高效截图软件等。下载器部门推广设置,如下图所示:
本次commander恶意措施首要通过风云PDF阅读器和高效截图软件安装包举办投放,而且在安装上述混混软件后,在开始菜单、桌面等位置均未建设相干的启动快捷方法,导致用户难以发明该软件的存在。混混软件文件信息,如下图所示:
被投放的commander恶意措施,与此前火绒宣布陈诉中所描写的混混推广成果基内情同,城市下发执行告白弹窗模块,而且可以对commander恶意措施举办及时更新。恶意云控设置,如下图所示:
以风云PDF举办举例,与commander模块数据比拟,如下图所示:
风云PDF和高效截图软件下发的告白弹窗内容(易引起不适的告白内容已过滤),如下图所示:
二、 附录 病毒hash 本文素材来自互联网 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |