近日,騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),一病毒團(tuán)伙偽裝成多款知名軟件的官方下載站,借機(jī)傳播病毒下載器。該團(tuán)伙主要通過(guò)購(gòu)買搜索引擎廣告來(lái)獲取流量,搜索關(guān)鍵詞涉及谷歌瀏覽器、flash player等知名軟件。一旦運(yùn)行該軟件,病毒下載器聯(lián)網(wǎng)后就會(huì)獲取推廣配置文件,靜默推裝超過(guò)30款惡意軟件,此后還會(huì)通過(guò)鎖定瀏覽器及添加網(wǎng)址收藏夾等方式來(lái)謀取收益。據(jù)統(tǒng)計(jì),受影響的用戶累計(jì)達(dá)數(shù)十萬(wàn)。目前,騰訊電腦管家現(xiàn)已全面攔截并查殺該病毒。
(圖:騰訊電腦管家攔截并查殺該病毒) 根據(jù)騰訊電腦管家團(tuán)隊(duì)分析發(fā)現(xiàn),此款帶病毒下載器的網(wǎng)站在某搜索引擎的排名極為靠前,由此獲得了巨大的用戶流量。以檢索“flash player”為例,搜索結(jié)果第一條展示的就是偽裝的flash player官方下載頁(yè)面。點(diǎn)擊進(jìn)入后,該網(wǎng)站會(huì)出現(xiàn)一個(gè)名為“軟件管家”的下載頁(yè)面,點(diǎn)擊該頁(yè)面任一鏈接都會(huì)下載該病毒下載器。值得一提的是,該病毒下載器的文件MD5會(huì)頻繁變換更新,主要意圖是防止安全軟件檢測(cè)后而攔截查殺。
(圖:病毒下載器假冒常用工具軟件的下載頁(yè)面) 經(jīng)分析,該病毒下載器主要通過(guò)獲取配置文件進(jìn)行推廣軟件安裝,一旦運(yùn)行該病毒下載器,用戶電腦便會(huì)靜默安裝包括“迅捷助手、模擬大師、滅神游戲、拷貝兔趣壓”等超過(guò)30款惡意軟件,同時(shí)還不會(huì)安裝用戶通過(guò)搜索引擎尋找的那款軟件。 此外,該病毒下載器還會(huì)篡改瀏覽器配置、添加收藏夾及進(jìn)行主頁(yè)劫持等惡意行為。首先其會(huì)通過(guò)云端下載Dll文件進(jìn)行添加網(wǎng)購(gòu)等收藏夾,然后篡改注冊(cè)表網(wǎng)址導(dǎo)航及瀏覽器快捷方式啟動(dòng)參數(shù)的方式進(jìn)行主頁(yè)劫持,最后跳轉(zhuǎn)到帶推廣id的某網(wǎng)址導(dǎo)航站。根據(jù)騰訊安圖高級(jí)威脅追溯系統(tǒng)統(tǒng)計(jì),該病毒自五月初開始活躍,每天平均下載中招的用戶近萬(wàn)人,截至目前已累計(jì)數(shù)十萬(wàn)用戶電腦被感染。
(圖:病毒下載器傳播趨勢(shì)) 病毒下載器能強(qiáng)迫用戶完成安裝,從而提高自身流量,對(duì)犯罪團(tuán)伙而言無(wú)疑是增長(zhǎng)利潤(rùn)的利器。對(duì)此,騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大用戶務(wù)必做好自身防范措施,建議不要在網(wǎng)絡(luò)、論壇等下載軟件,需到軟件管理等正規(guī)渠道下載正版軟件,可以有效減少木馬病毒的侵害。同時(shí)保持安全軟件開啟狀態(tài),對(duì)各類病毒攻擊實(shí)時(shí)防御,并信任安全軟件的查殺提示,可有效保護(hù)個(gè)人電腦安全。 (責(zé)任編輯:海諾) |