后门病毒通过多个知名下载站传播并劫持浏览器主页

火绒安全团队日前发现某后门病毒伪装成老板键和屏幕亮度调节等工具在国内多个知名下载站进行疯狂传播。

该病毒在成功感染用户电脑后会劫持主流浏览器首页,且该病毒还在更新代码不排除未来执行更多恶意行为。

而国内这些垃圾下载站除知道捆绑和挂广告外,安全扫描形同虚设甚至标榜经过多个杀毒引擎查杀欺骗用户。

后门病毒通过国内多个知名下载站传播并劫持浏览器主页

通过国内多个知名下载站传播:

火绒安全团队在分析后发现诸如2345软件大全(多特下载)、非凡软件站、PC6下载站等均在传播该后门病毒。

当用户下载执行后病毒首先会装模作样的弹窗提示用户是否愿意支持、如果愿意支持则会锁定浏览器的首页。

然而即便用户不同意被感染的电脑还是会被继续锁定主页,还会在收藏夹中生成多个网址导航的推广地址等。

后门病毒通过国内多个知名下载站传播并劫持浏览器主页

对抗安全软件和虚拟机调试:

正常软件绝对不会对抗安全软件和规避虚拟机调试,而有问题的则是为避免被查所以都会采用多种规避措施。

本次火绒安全团队发现的这款后门病毒同样具备该特点,检测到安全软件后会主动采取规避措施防止被监测。

同时该后门病毒如果检测到在虚拟机中运行则不会执行恶意动作,防止触发安全软件的篡改浏览器主页监测。

同时该病毒还会连接黑产的远程服务器获取更多命令,必要时可以下发新命令在用户电脑执行更多恶意行为。

后门病毒通过国内多个知名下载站传播并劫持浏览器主页

所有主流浏览器均被劫持:

根据火绒安全软件分析,几乎所有主流浏览器例如谷歌浏览器、QQ 浏览器、搜狗、百度等浏览器均被劫持。

劫持后用户即便手动修改主页也无济于事,建议浏览器主页遭到恶意锁定的用户通过火绒安全进行检测查杀。

另外如果用户正在使用以下软件请注意安全问题,以下列表是火绒安全监测到的部分携带该病毒的软件工具。

后门病毒通过国内多个知名下载站传播并劫持浏览器主页

本文来源 火绒安全实验室,由 山外的鸭子哥 整理编辑,其版权均为 火绒安全实验室 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

2 条评论,访客:2 条,站长:0 条
  1. bakura1
    bakura1发布于: 
    Google Chrome 66.0.3359.181 Google Chrome 66.0.3359.181 Windows 7 64位版 Windows 7 64位版

    西西软件没事吧?一直在这个站下载东西。

发表评论