近日,騰訊安全御見威脅情報中心監測發現,一病毒團夥偽裝成多款知名軟體的官方下載站,藉機傳播病毒下載器。該團夥主要通過購買搜尋引擎廣告來獲取流量,搜索關鍵詞涉及谷歌瀏覽器、flash player等知名軟體。一旦運行該軟體,病毒下載器聯網後就會獲取推廣配置文件,靜默推裝超過30款惡意軟體,此後還會通過鎖定瀏覽器及添加網址收藏夾等方式來謀取收益。據統計,受影響的用戶累計達數十萬。目前,騰訊電腦管家現已全面攔截並查殺該病毒。
(圖:騰訊電腦管家攔截並查殺該病毒)
根據騰訊電腦管家團隊分析發現,此款帶病毒下載器的網站在某搜尋引擎的排名極為靠前,由此獲得了巨大的用戶流量。以檢索「flash player」為例,搜索結果第一條展示的就是偽裝的flash player官方下載頁面。點擊進入後,該網站會出現一個名為「軟體管家」的下載頁面,點擊該頁面任一連結都會下載該病毒下載器。值得一提的是,該病毒下載器的文件MD5會頻繁變換更新,主要意圖是防止安全軟體檢測後而攔截查殺。
(圖:病毒下載器假冒常用工具軟體的下載頁面)
經分析,該病毒下載器主要通過獲取配置文件進行推廣軟體安裝,一旦運行該病毒下載器,用戶電腦便會靜默安裝包括「迅捷助手、模擬大師、滅神遊戲、拷貝兔趣壓」等超過30款惡意軟體,同時還不會安裝用戶通過搜尋引擎尋找的那款軟體。
此外,該病毒下載器還會篡改瀏覽器配置、添加收藏夾及進行主頁劫持等惡意行為。首先其會通過雲端下載Dll文件進行添加網購等收藏夾,然後篡改註冊表網址導航及瀏覽器快捷方式啟動參數的方式進行主頁劫持,最後跳轉到帶推廣id的某網址導航站。根據騰訊安圖高級威脅追溯系統統計,該病毒自五月初開始活躍,每天平均下載中招的用戶近萬人,截至目前已累計數十萬用戶電腦被感染。
(圖:病毒下載器傳播趨勢)
病毒下載器能強迫用戶完成安裝,從而提高自身流量,對犯罪團夥而言無疑是增長利潤的利器。對此,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶務必做好自身防範措施,建議不要在網絡、論壇等下載軟體,需到軟體管理等正規渠道下載正版軟體,可以有效減少木馬病毒的侵害。同時保持安全軟體開啟狀態,對各類病毒攻擊實時防禦,並信任安全軟體的查殺提示,可有效保護個人電腦安全。
來源:東方網