火绒宁静:2345旗下“多特下载站”正转达木马步骤
科技教师3月10日讯,克日,火绒工程师发觉2345旗下“多特下载站”的下载器(高速下载)正在实行转达木马步骤的恶意举动。
具体表如今当用户在多特下载站下载软件时,使用的网站高速下载器后,用户的电脑会立刻被静默植入一款名为“commander”的木马步骤,该木马步骤会在背景运转,不休的举行倾销推送、静默推行别的软件,严峻影响了用户正常使用电脑。为了规避宁静软件的查杀,该木马步骤还会主动检测用户电脑中对否安装宁静软件和东西。
即使用户关闭下载器,“commander”仍旧会不休驻留用户体系。同时,该下载器还会开释病毒挟制用户欣赏器首页,用以推行倾销步骤。
并且同下载器一同捆绑的软件共有9款,包含趣压、拷贝兔、小白看图等,且这些被静默安装的软件与“commander”木马步骤系同源地痞软件。
规避杀软步骤的干系配相信息如下图所示:
规避的杀软步骤
下图中红框标注局部为木马步骤commander干系推行信息。静默推行软件的干系配相信息,如下图所示:
推行软件的干系配相信息
多特下载器除了静默推行软件之外,还会依据其设置下载具有欣赏器锁首及添加欣赏器书签功效的地痞步骤DTPageSet.exe,此步骤固然能正常下载到用户电脑之中,但是后续的代码实行功效并未放开,不扫除将来运转此步骤的约莫性。下载DTPageSet.exe干系配相信息如下图所示:
下载运转DTPageSet.exe干系代码如下图所示:
下载运转DTPageSet.exe
受影响的欣赏器如下图所示:
受影响的欣赏器
火绒宁静对其的形貌为:经过下载其他病毒来直接对体系产生宁静要挟,此类木马通常体积较小,并辅以勾引性的称呼和图标诱骗用户使用。
内幕上,这并不是2345的产物第一次被火绒宁静拦阻,早在2017年年底,火绒宁静就发射警报,一款名为“云盘算”的软件,正经过种种地痞渠道放纵推行,该软件除了把用户电脑当“肉鸡“举行挖矿外,没有任何其他功效,是一种地道的挖矿东西(消费“零币”)。而被植入“云盘算”软件的电脑,则沦为挖矿的“肉鸡”,多量体系资源被打劫,显现速率变慢、发热等特别征象。
据悉,“云盘算”软件由2345公司旗下的“2345王牌武艺员同盟”举行推行,浩繁地痞软件经过该“同盟”提取推行职责,使用种种伎俩在用户电脑上偷苟安装该软件,然后依据安装量提取相应的报答。
今后,在2019年4月,火绒宁静检测到局部“2345导航站”首页的弹窗倾销携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、着名游戏(地下城与俊杰、好汉同盟、穿越前线)的账号。
火绒宁静表现这是一次计划精良、构造周到的大范围盗号举动,使用周末时间忽然倡导打击,主要目标是网吧游戏用户。
