据火绒安全实验室最新消息日前上市公司 2345 旗下多特软件站正在通过所谓的高速下载传播木马程序劫持用户。
多特软件站是国内老牌下载站不过此前也多次被发现传播木马,而且多特软件站的这类行为多数都是有意为之的。
通常这类下载站被检测到病毒等恶意行为后都会撤掉木马躲避风头,待风声过去继续投放木马侵害消费者的权益。
比如此次被火绒发现的下载器木马就会在后台执行静默安装,同时还会劫持用户浏览器强制修改浏览器主页等等。
多特下载站此次传播的下载器木马为上海某公司开发,当用户执行后木马便在后台自动运行并开始静默安装软件。
由于既没有活动窗口也不会在桌面右下角显示图标,因此用户不会发现异常直到桌面上出现各种垃圾软件的图标。
这款下载器木马主要会静默安装诸如趣压、拷贝兔和小白看图等软件,火绒分析发现这些软件与木马系同源软件。
也就是说上海这家公司专门开发这款下载器木马用于传播这类流氓软件,甚至用户卸载后还可以自动重新安装等。
目前网上有许多用户抱怨趣压等软件卸载后又会复活,显然上海这家公司还在这类流氓软件里也暗藏着木马病毒。
这类垃圾下载站传播木马通常不会只捆绑软件这么简单,毕竟花钱推广肯定要榨干用户价值实现灰色利益最大化。
例如此次多特软件站传播的木马还会劫持所有主流浏览器,在用户已安装的浏览器里强制修改主页添加广告书签。
在浏览器方面主要恶意行为包括:强制修改所有已安装浏览器的主页、添加返利网站书签、添加游戏推广书签等。
木马也会在后台静默运行并定时检查这些广告内容,如果用户删除或者修改主页的话木马还会再执行流程再修改。
以往下载器木马主要都是静默安装推广软件,诸如篡改浏览器主页等恶意行为时有发生但相对来说还不是特别多。
而在桌面疯狂弹广告在以往的下载器木马里非常少见,此次多特软件站传播的下载木马就会在桌面上疯狂弹广告。
火绒工程师分析发现该木马会请求服务器下载弹窗配置文件,然后不断的在桌面右下角弹出形式多样的广告窗口。
这些广告弹窗以所谓的热点资讯为噱头中间夹杂着各种垃圾广告,甚至某些广告还有各种露骨广告诱导用户点击。
此外或许是为了规避监管部门查处,木马运行时还会检测用户所在地区规避某些重点城市即这些地区不执行动作。
不得不说多特软件站此次传播的下载器木马功能丰富、恶意行为多样化,不榨干用户的最后一点价值也决不罢休。
当然也建议用户们远离诸如 2345 这类垃圾软件和垃圾网站家族,如有必要请安装杀毒软件提高系统的防御能力。
源文:https://www.landiannews.com/archives/70847.html