无节制流氓推广 2345旗下下载站正在传播木马程序

【快讯】近日，火绒工程师发现2345旗下“多特下载站”的下载器（高速下载）正在施行传布木马法式的歹意行为。用户下载运行该下载器后，会立即被寂静植入一款名为“commander”的木马法式，该木马法式会在后台运行，并按照云控设置装备摆设推送弹窗告白和地痞软件。即便用户封闭下载器，“commander”仍然会不断驻留用户系统。同时，该下载器还会释放病毒劫持用户阅读器首页，用以推广告白法式。

目前，火绒平安软件最新版已对该下载器与“commander”软件相关歹意与地痞模块停止拦截查杀。

火绒工程师对木马法式 “commander”停止阐发后发现，该法式会在用户不知情下被寂静安拆至电脑中，并在起头菜单、桌面等位置均没有创建相关的启动快速体例，招致用户难以发现该软件的存在；同时，其告白推广模块会在后台偷偷运行，不断的停止告白推送、寂静推广其它软件，严峻影响了用户一般利用电脑。为了遁藏平安软件的查杀，该木马法式还会主动检测用户电脑中能否安拆平安软件和东西。

截至目前，被“commander”木马法式寂静推广的软件共有9款，包罗趣压、拷贝兔、小白看图等，且那些被寂静安拆的软件与“commander”木马法式系同源地痞软件。

事实上，木马法式、地痞软件与类似“多特”如许的下载站之间早已构成了一条完好的黑色财产链：下载站通过木马法式、病毒，来寂静推广地痞软件，以此获取软件厂商供给的利益；地痞软件被传布到用户电脑后，也会施行绑缚、弹窗等歹意推广其它软件的行为，从中获取利润。一旦用户下载此类下载器或地痞软件，就会陷入“疯狂”的被寂静安拆与推广的陷阱中。

在此，火绒工程师提醒广阔用户，必然要通过官网等正规渠道下载软件，隆重利用下载站等第三方下载器下载软件，需要时可先利用可靠的平安软件对其停止扫描后再利用。同时，我们呼吁广阔下载站，尊重用户权益，合理逐利，关于任何进犯用户权益的地痞、病毒软件以及下载器，火绒城市及时停止拦截查杀。

一、 详细阐发

不断以来，下载站都是浩瀚地痞软件的次要传布渠道之一。本次火绒发现的木马法式commander，就是通过多特下载站的下载器停止寂静推广。只要用户在未安拆平安软件（如火绒、360、金山等）的情况中运行多特下载器，就会寂静下载安拆commander木马法式。除此之外，多特下载站下载器还会下载释放锁首木马和告白推广法式，而且检测平安软件遁藏平安查杀。综上所述歹意行为，多特下载站下载器已经满足了火绒对病毒的定义。多特下载站页面，如下图所示：

多特下载站页面

多特下载器歹意行为

多特下载器运行之后会按照它的云端设置装备摆设躲避杀软并停止软件寂静推广

躲避杀软法式的相关设置装备摆设信息如下图所示：

躲避的杀软法式

下图中红框标注部门为木马法式commander相关推广信息（commander相关歹意行为将鄙人一章节停止阐发）。寂静推广软件的相关设置装备摆设信息，如下图所示：

推广软件的相关设置装备摆设信息

寂静推广软件的相关代码，如下图所示：

寂静推广软件相关代码

多特下载器除了寂静推广软件之外，还会按照其设置装备摆设下载具有阅读器锁首及添加阅读器书签功用的地痞法式DTPageSet.exe，此法式固然能一般下载到用户电脑之中，但是后续的代码施行功用并未铺开，不排除未来运行此法式的可能性。下载DTPageSet.exe相关设置装备摆设信息如下图所示：

DTPageSet.exe相关设置装备摆设信息

下载运行DTPageSet.exe相关代码如下图所示：

下载运行DTPageSet.exe

受影响的阅读器如下图所示：

受影响的阅读器

DTPageSet.exe次要通过修改注册表，修改阅读器设置装备摆设文件，修改阅读器快速体例参数的体例来锁定阅读器首页。

以QQ阅读器为例，DTPageSet.exe修改注册表来锁定阅读器主页的相关代码和现象如下图所示：

修改QQ阅读器注册表

修改后的注册表及阅读器首页被锁定

以搜狗阅读器为例，DTPageSet.exe修改阅读器设置装备摆设文件来锁定阅读器主页的相关代码和现象如下图所示：

修改阅读器设置装备摆设文件相关代码

修改后的阅读器设置装备摆设及阅读器首页被锁定

以360平安阅读器为例，DTPageSet.exe修改阅读器快速体例参数来锁定阅读器主页的相关代码和现象如下图所示：

修改阅读器快速体例参数

修改后的阅读器快速体例参数及阅读器首页被锁定

DTPageSet.exe除了上述锁定阅读器首页行为外，还会将云端下放的书签设置装备摆设添加到阅读器之中，添加阅读器书签相关设置装备摆设信息如下图所示：

阅读器书签相关设置装备摆设

下面以360平安阅读器为例，添加阅读器书签相关代码及现象如下图所示：

创建并写入书签相关代码

阅读器中被插入的书签

commander阐发

如前文所述，多特下载站下载器会寂静推广木马法式commander。commander软件被下载器寂静推广安拆到%APPDATA%\commander文件夹下，中间过程无任何提醒。且在起头菜单、桌面和使命栏上都没有软件功用的入口，用户底子无法察觉到软件的安拆。该软件在安拆后会下载施行多个告白弹窗模块停止告白推广，而且会下载施行寂静推广模块，推广软件。

Commander在安拆后，会将Services.exe模块注册为办事，开机自启。Services模块会按时（每30分钟一次）启动commandtools.exe。commandtools.exe模块会从办事器地址（hxxp://http://i.zzb6.cn/api/data/get）下载到加密的设置装备摆设文件config.dll，并按照设置装备摆设下载施行告白弹窗和软件推广模块。设置装备摆设文件，如下图所示：

设置装备摆设文件

commandtools.exe模块会对设置装备摆设文件中block字段中的所有弹窗和推广模块停止遍历下载施行。每个模块鄙人载之前，能够按照设置装备摆设文件设置一些下载前提，好比检测情况，过滤历程等。下载施行代码，如下图所示：

遍历下载施行模块

在目前的设置装备摆设中，下发的告白弹窗法式有多个，但只要两种，从办事器下载的途径上看，应该为统一法式的差别版本，不同不大。该告白弹窗模块会频繁弹出，且窗口多样。告白弹窗现象，如下图所示：

告白弹窗图

appupdui.exe在运行时会按照设置装备摆设通过列举历程名的体例对系统中的软件情况停止检测，除此之外还会检测当前IP所在城市，被检测的城市包罗：北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。被检测的历程，如下图所示：

检测的情况

检测城市和软件情况相关代码，如下图所示：

情况检测和城市检测代码

通过遍历历程的体例检测软件情况，相关代码如下图所示：

历程检测代码

appupdui.exe模块会按照config.dll设置装备摆设中的ads软件ID列表停止寂静下载安拆地痞软件。ads列表中的软件ID号与config.dll中的[Exe]部门的推广软件相关设置装备摆设逐个对应，如Exe_783与软件助手相关设置装备摆设对应。相关设置装备摆设，如下图所示：

寂静推广相关设置装备摆设

按照设置装备摆设文件中的下载地址寂静下载施行安拆包法式，相关代码如下图所示：

按照config.dll中的设置装备摆设寂静下载施行软件安拆包

颠末阐发我们发现，被commander寂静推广的软件（小白看图、趣压、拷贝兔等），与commander系为统一做者编写，且安拆后都带有与commandtools.exe不异的歹意功用模块。在那些被推广的软件config.dll设置装备摆设中，暂未发现下载appupdui.exe的相关设置装备摆设，但不排除未来下发其他歹意功用模块的可能性。相关代码同源性比照图，如下图所示：

代码同源性比照图

二、附录

样本hash