近日,火絨工程師發現一個名為“多特下載站”的下載器正在實施傳播木馬程序的惡意行為。
用戶下載運行該下載器後,會立即被靜默植入一款名為“commander”的木馬程序,該木馬程序會在後臺運行,並根據雲控配置推送彈窗廣告和流氓軟件。即使用戶關閉下載器,“commander”仍然會一直駐留用戶系統。
同時,該下載器還會釋放病毒劫持用戶瀏覽器首頁,用以推廣廣告程序。
截至目前,被“commander”木馬程序靜默推廣的軟件共有9款,包括趣壓、拷貝兔、小白看圖等,且這些被靜默安裝的軟件與“commander”木馬程序系同源流氓軟件。它的一個模塊被發現還檢測當前 IP 所在城市,被檢測的城市包括:北京、上海、廣州、珠海、杭州、西安、馬鞍山、蘇州、武漢、天津、合肥。
木馬程序、流氓軟件與類似“多特”這樣的下載站之間早已形成瞭一條完整的黑色產業鏈:下載站通過木馬程序、病毒,來靜默推廣流氓軟件,以此獲取軟件廠商提供的利益;流氓軟件被傳播到用戶電腦後,也會實施捆綁、彈窗等惡意推廣其它軟件的行為,從中獲取利潤。一旦用戶下載此類下載器或流氓軟件,就會陷入“瘋狂”的被靜默安裝與推廣的陷阱中。
擴展閱讀:來自火絨工程師的詳細分析報告
