火絨工程師發(fā)現:多特下載站被發(fā)現傳播木馬程序

據火絨安全實(shí)驗室最新消息日前上市公司 2345 旗下多特軟件站正在通過(guò)所謂的高速下載傳播木馬程序劫持用戶(hù)。多特軟件站是國內老牌下載站不過(guò)此前也多次被發(fā)現傳播木馬，而且多特軟件站的這類(lèi)行為多數都是有意為之的。通常這類(lèi)下載站被檢測到病毒等惡意行為后都會(huì )撤掉木馬躲避風(fēng)頭，待風(fēng)聲過(guò)去繼續投放木馬侵害消費者的權益。比如此次被火絨發(fā)現的下載器木馬就會(huì )在后臺執行靜默安裝，同時(shí)還會(huì )劫持用戶(hù)瀏覽器強制修改瀏覽器主頁(yè)等等。

點(diǎn)擊高速下載后電腦為何出現許多軟件：

多特下載站此次傳播的下載器木馬為上海某公司開(kāi)發(fā)，當用戶(hù)執行后木馬便在后臺自動(dòng)運行并開(kāi)始靜默安裝軟件。由于既沒(méi)有活動(dòng)窗口也不會(huì )在桌面右下角顯示圖標，因此用戶(hù)不會(huì )發(fā)現異常直到桌面上出現各種垃圾軟件的圖標。

這款下載器木馬主要會(huì )靜默安裝諸如趣壓、拷貝兔和小白看圖等軟件，火絨分析發(fā)現這些軟件與木馬系同源軟件。也就是說(shuō)上海這家公司專(zhuān)門(mén)開(kāi)發(fā)這款下載器木馬用于傳播這類(lèi)流氓軟件，甚至用戶(hù)卸載后還可以自動(dòng)重新安裝等。目前網(wǎng)上有許多用戶(hù)抱怨趣壓等軟件卸載后又會(huì )復活，顯然上海這家公司還在這類(lèi)流氓軟件里也暗藏著(zhù)木馬病毒。

捆綁瀏覽器主頁(yè)自然不會(huì )少：

這類(lèi)垃圾下載站傳播木馬通常不會(huì )只捆綁軟件這么簡(jiǎn)單，畢竟花錢(qián)推廣肯定要榨干用戶(hù)價(jià)值實(shí)現灰色利益最大化。

例如此次多特軟件站傳播的木馬還會(huì )劫持所有主流瀏覽器，在用戶(hù)已安裝的瀏覽器里強制修改主頁(yè)添加廣告書(shū)簽。在瀏覽器方面主要惡意行為包括：強制修改所有已安裝瀏覽器的主頁(yè)、添加返利網(wǎng)站書(shū)簽、添加游戲推廣書(shū)簽等。木馬也會(huì )在后臺靜默運行并定時(shí)檢查這些廣告內容，如果用戶(hù)刪除或者修改主頁(yè)的話(huà)木馬還會(huì )再執行流程再修改。

連木馬都開(kāi)始進(jìn)行彈窗廣告：

以往下載器木馬主要都是靜默安裝推廣軟件，諸如篡改瀏覽器主頁(yè)等惡意行為時(shí)有發(fā)生但相對來(lái)說(shuō)還不是特別多。而在桌面瘋狂彈廣告在以往的下載器木馬里非常少見(jiàn)，此次多特軟件站傳播的下載木馬就會(huì )在桌面上瘋狂彈廣告?；鸾q工程師分析發(fā)現該木馬會(huì )請求服務(wù)器下載彈窗配置文件，然后不斷的在桌面右下角彈出形式多樣的廣告窗口。這些廣告彈窗以所謂的熱點(diǎn)資訊為噱頭中間夾雜著(zhù)各種垃圾廣告，甚至某些廣告還有各種露骨廣告誘導用戶(hù)點(diǎn)擊。

此外或許是為了規避監管部門(mén)查處，木馬運行時(shí)還會(huì )檢測用戶(hù)所在地區規避某些重點(diǎn)城市即這些地區不執行動(dòng)作。不得不說(shuō)多特軟件站此次傳播的下載器木馬功能豐富、惡意行為多樣化，不榨干用戶(hù)的最后一點(diǎn)價(jià)值也決不罷休。

當然也建議用戶(hù)們遠離諸如 2345 這類(lèi)垃圾軟件和垃圾網(wǎng)站家族，如有必要請安裝殺毒軟件提高系統的防御能力。

發(fā)布者：水橋丶帕露西