奇客PDF转换器被发现携带木马病毒 将用户变成肉鸡充当IP代理地址池

据火绒威胁情报系统监测,火绒工程师发现奇客PDF转换器携带恶意代理模块,正在通过下载站下载器进行推广。

该恶意代理模块会在用户不知情的情况下访问大量陌生网址,导致用户电脑处理器资源使用率飙升系统明显卡顿。

这款免费转换器通过某些垃圾下载器进行静默推广,当用户从某些下载站点击高速下载就有可能变成这种下载器。

而打开这些垃圾下载器后即便用户取消勾选也可能被偷偷安装大量不知名软件,其中有可能包括奇客PDF转换器。

奇客PDF转换器被发现携带木马病毒 将用户变成肉鸡充当IP代理地址池

卸载转换器后恶意模块仍然存在:

分析发现奇客PDF转换器在安装阶段释放恶意代理模块,即便用户将这款转换器卸载,恶意代理模块也不会消失。

并且该恶意模块还会将自己设置为开机自启动实现永久驻留目的,并且没有程序图标用户也无法发现该恶意模块。

值得注意的是开发奇客PDF转换器的公司即苏州奇客乐思网络科技有限公司与杭州至流科技有限公司存在着关联。

苏州奇科乐的实控人与监事和杭州至流相同,而至流科技从事的业务则是IP代理业务,即为企业提供动态IP服务。

此类服务通常用来代理爬虫避免某些地址被封禁,因此奇客PDF转换器很有可能就是免费提供给用户的诱饵软件。

当用户安装这个诱饵软件后则会中毒并沦为攻击者的肉鸡,随后至流科技再通过出售代理服务等给企业进行获利。

奇客PDF转换器被发现携带木马病毒 将用户变成肉鸡充当IP代理地址池

数字签名证实两家公司存在关联:

火绒工程师进一步分析还发现奇客转换器释放的恶意代理模块存在数字签名,而签名也并非是苏州奇客乐公司的。

恶意代理模块使用的签名是杭州至流科技有限公司,这也佐证两家公司存关联,前者负责诱饵投毒后者负责赚钱。

目前火绒安全软件已经升级病毒库可对奇客转换器进行查杀,如果曾经使用过该转换器也建议进行查杀确保安全。

毕竟即便卸载后恶意代理模块也不会被删除,因此除非使用安全软件进行查杀否则用户很难发现自己变成了肉鸡。

本文来源 火绒安全实验室,由 山外的鸭子哥 整理编辑,其版权均为 火绒安全实验室 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
CZY3434123
扫码关注蓝点网微信公众号

评论:

4 条评论,访客:4 条,站长:0 条
  1. 木头科学二百五
    木头科学二百五发布于: 
    Chromium Edge 88.0.705.68 Chromium Edge 88.0.705.68 Windows 10 64位版 Windows 10 64位版

    are you kidding me? 这也行。。。

  2. QuietCao
    QuietCao发布于: 
    Chromium Edge 88.0.705.63 Chromium Edge 88.0.705.63 Windows 10 64位版 Windows 10 64位版

    目前火绒安全软件已经升级病毒……???

  3. CZY3434123
    CZY3434123发布于: 
    Yandex Browser 21.2.0.800 Yandex Browser 21.2.0.800 Windows 10 64位版 Windows 10 64位版

    支持火绒

发表评论