注意!某知名国产软件被曝携带木马病毒

小小__

共 1132字,需浏览 3分钟

 ·

2021-04-01 07:22

1de73c90143ba495437ce04f8068da08.webp

据火绒威胁情报系统监测,火绒工程师发现奇客PDF转换器携带恶意代理模块,正在通过下载站下载器进行推广。

据了解,近期火绒接到许多用户反馈称电脑会莫名卡顿,CPU占用率高。

且进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。

最终经工程师分析发现,用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。

cc281be721ad44af22ca6b42b4155d79.webp

火绒工程师分析发现,奇客PDF转换器主要是通过下载站的下载器进行静默传播推广。

然后,在用户安装软件的过程中,它就会释放恶意代理模块到%appdata%tx目录。

简单来说,就是该软件携带的恶意代理模块会在不被用户发现的情况下,利用用户电脑访问大量的陌生网址,导致用户电脑CPU占用率变高,系统变得卡顿。

并且,即使用户卸载奇客PDF转换器,其恶意代理模块也不会被随之删除,而是作为系统服务,开机自启,达到永久驻留在用户电脑中的目的。

7cedc01057bd646c3a0f221de472ede7.webp

另外,火绒还发现了若干版本的奇客PDF转换器与其释放的恶意代理模块。

无论是何种版本的恶意模块,其功能代码都极为相似。

搜索后端架构师公众号回复“架构整洁”,送你一份惊喜礼包。

经过溯源分析发现,奇客PDF转换器安装包及其释放的恶意代理模块svchost.exe的均来自于杭州某科技有限公司。签名信息如下图所示:

5e083299d1a55fa0899c580e9459097e.webp

该公司旗下网站“ZL软件”则主要经营流量代理服务。

41621ff38822a5502df3d670a0e6b12f.webp

对于某些垃圾软件下载站的静默推广行为,大家应该都非常熟悉了。

当我们在某个资源网站下载软件时,如果点击了高速下载,那么下载的可能并非是软件本身,而是所谓的“高速下载器”。

而这种下载器,很可能会在用户后台捆绑安装大量垃圾软件,这就叫作静默推广。

此前在国内爆发的「麻辣香锅」病毒,也是与某些垃圾系统下载站达成合作,在这些下载站推广带毒的工具和系统。

a62926c90eda2a2fc9eacf7dd1b0b082.webp

这次中招的奇客PDF转换器,同样是通过这种方式进行传播的。

ecc855581db56dc2c3aa3383971c225a.webp

当用户安装这个软件后,则会中毒并沦为攻击者的肉鸡,用户却很难发现。

火绒称,目前,该恶意软件仅单日侵扰用户量就达数万,请大家小心防范。

目前火绒安全软件已经升级病毒库可对奇客转换器进行查杀,如果大家曾经使用过该转换器,建议进行查杀确保安全。

27e03ed592a0f303fd042ce6311e3a83.webp

PS:欢迎在留言区留下你的观点,一起讨论提高。如果今天的文章让你有新的启发,欢迎转发分享给更多人。


END

105f1ecdc0fcbe337c3361a1f1085e42.webp



往期推荐


60992f0162a45c1c38678b12551cf769.webp 00c0cdd0397d813e418ac1b0d4a73e2f.webp

日赚50-2000元的抖音赚钱项目!相当暴利,每天只需半小时

程序员离职后躲老家山洞 2 年,敲出 45 万行代码...

网上赚钱项目:1688诚信通卖虚拟产品,全自动年入20万








浏览 16
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报