商业公司明目张胆以制作病毒为主业 已感染数十万台电脑

火绒安全团队日前监测到某商业公司制作流量劫持病毒通过某些垃圾下载站伪装称激活工具进行大范围传播。

该公司将名为天馨气象的恶意软件植入KMSTools、暴风激活以及 HEU KMS 等激活工具诱导用户主动下载。

在 2015 年名为叮叮天气的恶意软件就被曝光,火绒安全经过溯源发现天馨气象与叮叮气象为同一病毒团伙。

商业公司明目张胆以制作病毒为主业 已感染数十万台电脑

注册商业公司以制作病毒为主业:

这个病毒制作团伙注册上海够昂网络科技有限公司以及上海旻嘟网络科技有限公司公然以制作病毒作为主业。

通过垃圾下载站进入用户电脑后即释放多个病毒模块用来劫持用户,包括天馨气象和星驰天气助手等等插件。

火绒威胁情报系统显示当前至少已经有数十万台电脑遭到感染,不断地进行劫持用户流量获得广告分成等等。

商业公司明目张胆以制作病毒为主业 已感染数十万台电脑

如果被卸载还会自动安装:

火绒工程师分析发现这些恶意软件会关闭UAC账户控制,同时还将自己的病毒模块加入启动项进行开机启动。

每次开机后病毒模块都会检查所有恶意软件和插件的部署状态,如果检测不存在则会再次自动安装劫持用户。

所有主流浏览器都在劫持之列,包括谷歌浏览器、360 浏览器、百度浏览器、QQ 浏览器以及搜狗浏览器等。

商业公司明目张胆以制作病毒为主业 已感染数十万台电脑

替换下载链接、劫持HTTPS网站流量:

病毒的具体行为主要包括用户下载某些软件时会被自动替换为带有推广标识符的安装包为病毒团伙提供分成。

例如在酷狗音乐官网下载酷狗音乐在点击的同时立即会换成推广链接,在神不知鬼不觉的情况下赚取广告费。

打开百度以及网址导航时也会被跳转到带有标识符的地址获取分成,即便启用HTTPS加密也同样会遭到劫持。

此外用户如果打开购物网站也会被劫持替换为返利链接,包括京东、国美、苏宁易购、唯品会等都遭到劫持。

商业公司明目张胆以制作病毒为主业 已感染数十万台电脑

国内外多款安全软件没有检测和查杀:

该病毒能够大量传播还有个原因就是国内外多款安全软件无法检测和查杀,就是默认情况下会放行用户安装。

这个原因很大程度上是这些病毒都带有公司的数字签名,很多杀毒软件默认放行带有数字签名的可执行程序。

商业公司明目张胆以制作病毒为主业 已感染数十万台电脑

病毒专业户火速关闭相关恶意软件网站:

这个 2015 年开始就以制作病毒为主业的公司估计是看到火绒发布的分析报告,目前相关网站已全部被关闭。

只是作为病毒专业户从几年前被公开查杀后现在还能继续制作病毒也令人诧异,估计风头过后又会继续制作。

当然病毒专业户们都敢明目张胆的注册公司以制毒为主业更让人震惊,算了受影响的用户们还是赶紧查杀吧。

本文来源 火绒安全,由 山外的鸭子哥 整理编辑,其版权均为 火绒安全 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0

评论:

13 条评论,访客:10 条,站长:3 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)
  1. laosa
    laosa发布于: 

    话说那我的大卡巴是不是可以换成火绒了,看着最近势头很猛啊

发表评论