远控木马ForShare伪装虚拟道具攻击游戏玩家
【文章摘要】 近期腾讯电脑管家发现某些下载器打着高速下载器的旗帜潜伏推装陷阱,网民若不仔细察看,就会被推装许多非必要的软件,这些下载器还会在用户电脑安装广告模块不准时弹出含色情擦边球的广告。腾讯电脑管家内置的平安雷达可辅助用户阻挡种种广告弹窗和恶意推装,建议网民下载软件时,制止误点“高速下载”按钮。近期腾讯电脑管家发现某些下载器打着高速下载器的旗帜潜伏推装陷阱,网民若不仔细察看,就会被推装许多非必要的软件,这些下载器还会在用户电脑安装广告模块不准时弹出含色情擦边球的广告。腾讯电脑管家内置的平安雷达可辅助用户阻挡种种广告弹窗和恶意推装,建议网民下载软件时,制止误点“高速下载”按钮。
部门软件下载站下载软件时一样平常会有三种下载方式(高速下载、讯雷下载、本地下载),最引人注目的就是高速下载,也是网站的默认推荐项,用户经常不假思索,直接点击。而这些高速下载器会凭据文件名判断安装对应的软件,且推装多款用户不需要的软件。
高速下载陷阱案例,如下图所示:
bilibilipc@30_42112.exe、mozildfirefox@30_21830.exe,这两个文件属性完全相同,为同一个文件,其差别之处仅下载器文件名差别。
以mozildfirefox@30_21830.exe 为例,mozildfirefox是用户想要下载的真实软件“Firefox 火狐浏览器”。“@”为分隔符,后面的数字“30_21830”是软件“Firefox 火狐浏览器”在该下载站符号的id,网站凭据这个id来确定推装什么软件。
下载器推装软件的特点:
1.推装流氓化:通过有意诱导、推荐安装或后台静默安装,在用户电脑安装用户不需要的软件,好比默认勾选,选择框很小,自定义安装,潜伏其它已勾选软件等。
右侧软件推荐列表,选中按钮小且颜色很淡
折叠的自定义安装,不点击不知道另有其他推荐项
2.商业化弹窗导流:推装商业软件的同时,在用户桌面弹窗导流。频仍弹窗影响用户体验,且弹窗内容多为色情擦边球。
3.后台推装持久化:高速下载器,会注册服务和启动项,并伪装成所谓‘扩展模块’,通过云端控制不定期连续推装其它用户不需要的软件。
同一个高速下载器凭据@分隔符后面的ID划分安装对应的软件列表
文件名
对应软件
mtzone@30_37292.exe
→
MTzone桌面计算器
word@30_36007.exe
某软件广告弹窗模块感染Sality病毒,影响5万用户
→
Word 2007简体中文版
bilibilipc@30_42112.exe
→
哔哩哔哩bilibili
kuaikanmanhua@30_30543.exe
→
快看漫画
mozildfirefox@30_21830.exe
→
Mozilla Firefox
腾讯电脑管家已默认阻挡以上软件下载器,推荐用户开启腾讯电脑管家的平安雷达,扫描本机是否存在有推广安装、弹窗导流等影响用户体验的恶意软件。
建议用户下载软件时通过开发者官方网站下载,或者通过腾讯电脑管家内置的软件治理功效下载,制止受到流氓推装的影响。
IOCs
MD5
9c2df1ded24f254d612652291ed4f239
0c1881a4c03adabb87ad8c3fc9323351
0818a9c98a0fafa3e71d545289826aba
74ff78fe147c375921e2aba38a96490a
4285d26b3ac74405fdeb7770b1ce5359
68677c5dc22020d79650a2bdacf2320b
b2153f6d1e7eada8d9bb33d513f56f47
99895615735a5095fef30a5b6afeb381
DT下载器木马感染2万台电脑,中招后频繁弹广告、主页被锁