近日，騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，一病毒團(tuán)伙偽裝成多款知名軟件的官方下載站，借機(jī)傳播病毒下載器。該團(tuán)伙主要通過購買搜索引擎廣告來獲取流量，搜索關(guān)鍵詞涉及谷歌瀏覽器、flash player等知名軟件。一旦運行該軟件，病毒下載器聯(lián)網(wǎng)后就會獲取推廣配置文件，靜默推裝超過30款惡意軟件，此后還會通過鎖定瀏覽器及添加網(wǎng)址收藏夾等方式來謀取收益。據(jù)統(tǒng)計，受影響的用戶累計達(dá)數(shù)十萬。目前，騰訊電腦管家現(xiàn)已全面攔截并查殺該病毒。

（圖：騰訊電腦管家攔截并查殺該病毒）

根據(jù)騰訊電腦管家團(tuán)隊分析發(fā)現(xiàn)，此款帶病毒下載器的網(wǎng)站在某搜索引擎的排名極為靠前，由此獲得了巨大的用戶流量。以檢索“flash player”為例，搜索結(jié)果第一條展示的就是偽裝的flash player官方下載頁面。點擊進(jìn)入后，該網(wǎng)站會出現(xiàn)一個名為“軟件管家”的下載頁面，點擊該頁面任一鏈接都會下載該病毒下載器。值得一提的是，該病毒下載器的文件MD5會頻繁變換更新，主要意圖是防止安全軟件檢測后而攔截查殺。

（圖：病毒下載器假冒常用工具軟件的下載頁面）

經(jīng)分析，該病毒下載器主要通過獲取配置文件進(jìn)行推廣軟件安裝，一旦運行該病毒下載器，用戶電腦便會靜默安裝包括“迅捷助手、模擬大師、滅神游戲、拷貝兔趣壓”等超過30款惡意軟件，同時還不會安裝用戶通過搜索引擎尋找的那款軟件。

此外，該病毒下載器還會篡改瀏覽器配置、添加收藏夾及進(jìn)行主頁劫持等惡意行為。首先其會通過云端下載Dll文件進(jìn)行添加網(wǎng)購等收藏夾，然后篡改注冊表網(wǎng)址導(dǎo)航及瀏覽器快捷方式啟動參數(shù)的方式進(jìn)行主頁劫持，最后跳轉(zhuǎn)到帶推廣id的某網(wǎng)址導(dǎo)航站。根據(jù)騰訊安圖高級威脅追溯系統(tǒng)統(tǒng)計，該病毒自五月初開始活躍，每天平均下載中招的用戶近萬人，截至目前已累計數(shù)十萬用戶電腦被感染。

（圖：病毒下載器傳播趨勢）

病毒下載器能強(qiáng)迫用戶完成安裝，從而提高自身流量，對犯罪團(tuán)伙而言無疑是增長利潤的利器。對此，騰訊安全反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大用戶務(wù)必做好自身防范措施，建議不要在網(wǎng)絡(luò)、論壇等下載軟件，需到軟件管理等正規(guī)渠道下載正版軟件，可以有效減少木馬病毒的侵害。同時保持安全軟件開啟狀態(tài)，對各類病毒攻擊實時防御，并信任安全軟件的查殺提示，可有效保護(hù)個人電腦安全。