互联网

火绒安全:2345旗下“多特下载站”正传播木马程序

  科技先生3月10日讯,近日,火绒工程师发现2345旗下“多特下载站”的下载器(高速下载)正在实施传播木马程序的恶意行为。

  具体表现在当用户在多特下载站下载软件时,使用的网站高速下载器后,用户的电脑会立即被静默植入一款名为“commander”的木马程序,该木马程序会在后台运行,不停的进行广告推送、静默推广其它软件,严重影响了用户正常使用电脑。为了躲避安全软件的查杀,该木马程序还会主动检测用户电脑中是否安装安全软件和工具。

  即使用户关闭下载器,“commander”仍然会一直驻留用户系统。同时,该下载器还会释放病毒劫持用户浏览器首页,用以推广广告程序。

  而且同下载器一起捆绑的软件共有9款,包括趣压、拷贝兔、小白看图等,且这些被静默安装的软件与“commander”木马程序系同源流氓软件。

  规避杀软程序的相关配置信息如下图所示:

  规避的杀软程序

  下图中红框标注部分为木马程序commander相关推广信息。静默推广软件的相关配置信息,如下图所示:

  推广软件的相关配置信息

  多特下载器除了静默推广软件之外,还会根据其配置下载具有浏览器锁首及添加浏览器书签功能的流氓程序DTPageSet.exe,此程序虽然能正常下载到用户电脑之中,但是后续的代码执行功能并未放开,不排除将来运行此程序的可能性。下载DTPageSet.exe相关配置信息如下图所示:

  下载运行DTPageSet.exe相关代码如下图所示:

  下载运行DTPageSet.exe

  受影响的浏览器如下图所示:

  受影响的浏览器

  火绒安全对其的描述为:通过下载其他病毒来间接对系统产生安全威胁,此类木马通常体积较小,并辅以诱惑性的名称和图标诱骗用户使用。

  事实上,这并不是2345的产品第一次被火绒安全拦截,早在2017年年底,火绒安全就发出警报,一款名为“云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当“肉鸡“进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产“零币”)。而被植入“云计算”软件的电脑,则沦为挖矿的“肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。

  据悉,“云计算”软件由2345公司旗下的“2345王牌技术员联盟”进行推广,众多流氓软件通过该“联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。

  此后,在2019年4月,火绒安全检测到部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。

  火绒安全表示这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。