木马程序借助“游民星空”等下载站再次大肆传播 可云控投放恶意模块

【快讯】

近日，火绒工程师发现木马法式“commander”借助“游民星空”、“游侠网”下载站，再次大范畴传布。用户通过上述下载站下载运行高速下载器后，即会传染该木马法式。目前，火绒最新版已对该木马法式和其推送的歹意模块停止拦截查杀。

火绒工程师阐发发现，用户运行下载器后，会被诱导寂静安拆“风云PDF阅读器”、“高效截图东西”等地痞软件，并在起头菜单、桌面等位置均没有创建相关的启动快速体例，让用户无法发现；同时，那些软件还会照顾木马法式“commander”，可通过云控办事器下发弹窗告白等歹意模块。

值得留意的是，该木马法式早在本年三月份，就因通过“多特”下载站下载器停止传布被火绒拦截披露过。详见陈述：

火绒平安尝试室：无节造地痞推广 2345旗下下载站正在传布木马法式1723 附和 · 325 评论文章

不断以来，通过下载站传布的病毒屡屡不竭，火绒就下载站的平安问题也停止过屡次的报导、披露，以至推出拦截下载站下载器的功用，帮忙用户制止风险。在此，火绒工程师提醒广阔用户，必然要通过官网等正规渠道下载软件，隆重利用下载站等第三方下载器下载软件。

附：【阐发陈述】

一、 详细阐发

近期，火绒发现commander歹意法式再次大面积传布，本次我们发现会投放commander歹意法式的地痞软件包罗：高效截图软件和风云PDF阅读器。与此前我们揭露的地痞软件不异，上述两款软件被寂静安拆后，在起头菜单、桌面等位置均没有创建相关的启动快速体例，招致用户难以发现该软件的存在。颠末溯源，我们发现上述地痞软件会借助游民星空（hxxp://http://down.gamersky.com ）、游侠网下载站（hxxp://http://down.ali213.net）停止推广。歹意行为传布与施行流程，如下图所示：

更有意思的是，游民星空与游侠网下载站所利用的下载器文件hash值完全不异。下载器文件信息，如下图所示：

下载器文件信息

下载器界面

下载器界面

下载器界面

如上图，下载器界面会诱导用户点击“保举安拆”按钮，且未设有用于打消软件推广的勾选项。在点击“保举安拆”按钮后，除上图已给出的软件外，还会寂静推广安拆更多地痞软件，如：风云PDF阅读器、高效截图软件等。下载器部门推广设置装备摆设，如下图所示：

推广软件的部门设置装备摆设信息

本次commander歹意法式次要通过风云PDF阅读器和高效截图软件安拆包停止投放，而且在安拆上述地痞软件后，在起头菜单、桌面等位置均未创建相关的启动快速体例，招致用户难以发现该软件的存在。地痞软件文件信息，如下图所示：

高效截图软件安拆包文件信息

风云PDF阅读器安拆包文件信息

被投放的commander歹意法式，与此前火绒发布陈述中所描述的地痞推广功用根本不异，城市下发施行告白弹窗模块，而且能够对commander歹意法式停止实时更新。歹意云控设置装备摆设，如下图所示：

告白弹窗推广战略

以风云PDF停止举例，与commander模块数据比照，如下图所示：

同源模块数据

风云PDF和高效截图软件下发的告白弹窗内容（易引起不适的告白内容已过滤），如下图所示：

告白弹窗

告白弹窗

二、 附录

病毒hash