点击上方“码农突围”,马上关注
这里是码农充电第一站,回复“666”,获取一份专属大礼包
真爱,请设置“星标”或点个“在看”
据火绒威胁情报系统监测,火绒工程师发现奇客PDF转换器携带恶意代理模块,正在通过下载站下载器进行推广。
据了解,近期火绒接到许多用户反馈称电脑会莫名卡顿,CPU占用率高。
且进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。
最终经工程师分析发现,用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。
火绒工程师分析发现,奇客PDF转换器主要是通过下载站的下载器进行静默传播推广。
然后,在用户安装软件的过程中,它就会释放恶意代理模块到%appdata%\tx目录。
简单来说,就是该软件携带的恶意代理模块会在不被用户发现的情况下,利用用户电脑访问大量的陌生网址,导致用户电脑CPU占用率变高,系统变得卡顿。
并且,即使用户卸载奇客PDF转换器,其恶意代理模块也不会被随之删除,而是作为系统服务,开机自启,达到永久驻留在用户电脑中的目的。
另外,火绒还发现了若干版本的奇客PDF转换器与其释放的恶意代理模块。
无论是何种版本的恶意模块,其功能代码都极为相似。
经过溯源分析发现,奇客PDF转换器安装包及其释放的恶意代理模块svchost.exe的均来自于杭州某科技有限公司。签名信息如下图所示:
该公司旗下网站“ZL软件”则主要经营流量代理服务。
对于某些垃圾软件下载站的静默推广行为,大家应该都非常熟悉了。
当我们在某个资源网站下载软件时,如果点击了高速下载,那么下载的可能并非是软件本身,而是所谓的“高速下载器”。
而这种下载器,很可能会在用户后台捆绑安装大量垃圾软件,这就叫作静默推广。
此前在国内爆发的「麻辣香锅」病毒,也是与某些垃圾系统下载站达成合作,在这些下载站推广带毒的工具和系统。
这次中招的奇客PDF转换器,同样是通过这种方式进行传播的。
当用户安装这个软件后,则会中毒并沦为攻击者的肉鸡,用户却很难发现。
火绒称,目前,该恶意软件仅单日侵扰用户量就达数万,请大家小心防范。
目前火绒安全软件已经升级病毒库可对奇客转换器进行查杀,如果大家曾经使用过该转换器,建议进行查杀确保安全。
来源:扩展迷EXTFANS
- END -
最近热文• 弃用 Notepad++,还有 5 款更牛逼的选择!• 北大保安“高考第一人”,现在成了一校之长!网友:真·知识改变命运• 编写 if 时不带 else,你的代码会更好!• 面试官:为什么 HashMap 的加载因子是0.75?• 如果MySQL磁盘满了,会发生什么?在这里,我为大家准备了一份2021年最新最全的《Java面试题及答案V4.0》,这套电子书涵盖了诸多后端技术栈的面试题和答案,相信可以帮助大家在最短的时间内复习Java后端的大多数面试题,从而拿到自己心仪的offer。截了张图,大家可以仔细查看左边的菜单栏,覆盖的知识面真的很广,而且质量都很不错。
资料获取方法
扫描下方二维码后台回复关键词:Java核心整理明天见(。・ω・。)