灰色产业链成病毒传播的最大渠道 流量生意或迎来最后的疯狂
劫持浏览器刷取流量等行为是流氓软件的常见行为,这种近乎病毒化的做法已经引起安全厂商和用户的注意。
但随着安全厂商的持续打击以及用户的安全意识提高,让病毒团伙以及流氓软件厂商的获利空间被逐渐压缩。
近期火绒威胁情报系统检测到病毒团伙为获取更多的利润,开始与广告推广平台合作利用广大用户暗刷流量。
这种行为不仅欺骗用户和广告主并且还在对抗安全尝试,同时近乎癫狂的模式似乎在宣告流量生意彻底黑化。
火绒安全团队发现万能压缩、万能看图等多款软件正在静默推广后门程序「眼睛守护神」暗自劫持用户电脑。
截止至发稿时已有几十万名用户被捆绑安装该后门程序,后门程序安装后会自动连接远程服务器下载病毒等。
同时还会执行静默推广鲁大师、手机模拟大师等多款软件,这些软件付费推广但是被黑产利用病毒进行推广。
通过查验数字签名后得知眼睛守护神数字签名与其下发的病毒签名相同,其背后很可能是公司化的制毒传毒。
用户下载上述软件后眼睛守护神后门程序就会被自动安装,安装过程没有任何提示且不会生成快捷方式图标。
因此普通用户如果不通过任务管理器很难发现出现异常进程,这个时候后门程序也会连接服务器下载病毒等。
下载的木马病毒可以用来劫持浏览器主页、暗刷流量甚至恶意破坏安全软件功能以此躲避安全软件的查杀等。
该病毒更加流氓的地方在于将用来刷流量的页面广告内容全部设置不可见,后台刷流量时用户完全无法察觉。
同时该病毒还会推广诸如鲁大师手机模拟大师、随心压缩、风行视频加速器、全能笔记本、桌面动态天气等。
值得注意的是这次安全事件中帮助病毒传播的最大途径就是万能压缩系列软件,该系列软件还算是正规软件。
万能系列软件包括万能五笔输入法、万能压缩、万能看图以及万能浏览器等,其中这次万能压缩是主要渠道。
其中万能压缩系列软件下载量较大其推广行为也非常疯狂,这已经造成病毒在短时间感染全国几十万台电脑。
万能系列软件开发商是上海嵩恒网络科技股份有限公司,目前尚不清楚该公司是否明知病毒还帮助其推广等。
截图来自国家企业信息公示系统
火绒安全团队分析表明无论是眼睛守护神后门程序还是加载的病毒,全部都包含相同的正规的企业数字签名。
这个签名属于南京星洪科技有限公司,据国家版权局登记网站显示眼睛守护神软件已经在今年三月申请登记。
眼睛守护神软件著作权登记的公司也是南京这家公司,看起来南京这家公司大概率就是这次事件的始作俑者。
当然让人无比惊讶的是竟然病毒都敢正大光明的进行数字签名,不得不说这家公司似乎完全没把这当作犯罪。
数字签名有助于绕过部分安全软件和操作系统的检查系统,这也是这家公司给病毒进行数字签名的主要原因。
截图来自企查查