科技先生3月10日訊,近日,火絨工程師發現2345旗下“多特下載站”的下載器(高速下載)正在實施傳播木馬程序的惡意行爲。
具體表現在當用戶在多特下載站下載軟件時,使用的網站高速下載器後,用戶的電腦會立即被靜默植入一款名爲“commander”的木馬程序,該木馬程序會在後台運行,不停的進行廣告推送、靜默推廣其它軟件,嚴重影響了用戶正常使用電腦。爲了躲避安全軟件的查殺,該木馬程序還會主動檢測用戶電腦中是否安裝安全軟件和工具。
即使用戶關閉下載器,“commander”仍然會一直駐留用戶系統。同時,該下載器還會釋放病毒劫持用戶浏覽器首頁,用以推廣廣告程序。
而且同下載器一起捆綁的軟件共有9款,包括趣壓、拷貝兔、小白看圖等,且這些被靜默安裝的軟件與“commander”木馬程序系同源流氓軟件。
規避殺軟程序的相關配置信息如下圖所示:
規避的殺軟程序
下圖中紅框標注部分爲木馬程序commander相關推廣信息。靜默推廣軟件的相關配置信息,如下圖所示:
推廣軟件的相關配置信息
多特下載器除了靜默推廣軟件之外,還會根據其配置下載具有浏覽器鎖首及添加浏覽器書簽功能的流氓程序DTPageSet.exe,此程序雖然能正常下載到用戶電腦之中,但是後續的代碼執行功能並未放開,不排除將來運行此程序的可能性。下載DTPageSet.exe相關配置信息如下圖所示:
下載運行DTPageSet.exe相關代碼如下圖所示:
下載運行DTPageSet.exe
受影響的浏覽器如下圖所示:
受影響的浏覽器
火絨安全對其的描述爲:通過下載其他病毒來間接對系統産生安全威脅,此類木馬通常體積較小,並輔以誘惑性的名稱和圖標誘騙用戶使用。
事實上,這並不是2345的産品第一次被火絨安全攔截,早在2017年年底,火絨安全就發出警報,一款名爲“雲計算”的軟件,正通過各種流氓渠道大肆推廣,該軟件除了把用戶電腦當“肉雞“進行挖礦外,沒有任何其他功能,是一種純粹的挖礦工具(生産“零幣”)。而被植入“雲計算”軟件的電腦,則淪爲挖礦的“肉雞”,大量系統資源被侵占,出現速度變慢、發熱等異常現象。
據悉,“雲計算”軟件由2345公司旗下的“2345王牌技術員聯盟”進行推廣,衆多流氓軟件通過該“聯盟”領取推廣任務,利用各種手段在用戶電腦上偷偷安裝該軟件,然後根據安裝量領取相應的報酬。
此後,在2019年4月,火絨安全檢測到部分“2345導航站”首頁的彈窗廣告攜帶盜號木馬,該病毒會偷取QQ、遊戲平台(steam、WeGame)、知名遊戲(地下城與勇士、英雄聯盟、穿越火線)的賬號。
火絨安全表示這是一次設計精巧、組織周密的大規模盜號行動,利用周末時間突然發起攻擊,主要目標是網吧遊戲用戶。