日前,火绒安全团队发现,万能压缩、起点PDF阅读器、迷你看图王、新速压缩、直购助手等一批软件内置后门程序,该后门可用来下发任意模块到用户电脑隐秘执行,威胁极大。目前,我们发现其云控下发的模块会投放间谍木 ...
日前,火绒安全团队发现,万能压缩、起点PDF阅读器、迷你看图王、新速压缩、直购助手等一批软件内置后门程序,该后门可用来下发任意模块到用户电脑隐秘执行,威胁极大。目前,我们发现其云控下发的模块会投放间谍木马,用以收集用户浏览器历史记录等信息。此外,该木马还会利用QQ登录凭证窃取QQ身份信息。 由于所述软件通过官网和各下载站进行传播和推广,影响范围较大,建议近期下载安装过的用户及时排查。火绒用户无须担心,火绒软件最新版已对所述软件中的后门程序进行拦截查杀。 分析发现,该后门程序下发的云控配置,除了统计用户电脑中软件安装情况外,主要用来收集用户浏览器浏览记录,并回传至后台。与以往我们披露的浏览器收集行为不同的是,该后门收集的浏览器历史记录已经具体到详细的网页地址,并可根据搜索的关键字随时远控收集行为和内容。 截至目前,所收集的浏览器网页记录多与举报投诉类和财经类网站相关,包括12315、新浪投诉平台、同花顺财经等,但不排除后续通过云控下发收集其它浏览记录命令的可能。 此外,该后门程序投放的间谍木马,还会利用用户QQ登录凭证,进入QQ空间窃取用户的年龄、出生日期、性别等重要个人隐私信息并回传至后台,严重侵犯用户隐私。 通过软件和代码溯源,我们发现上述软件均为同源软件产品,且与我们曾披露过的万能压缩、Clover等软件(详见报告《灰色产业链成病毒传播最大渠道 流量生意或迎来最后的疯狂》)带有相似的远程模块的调用方式,或系同一家流氓软件厂商所为。 近年来,流氓软件厂商传播的套路不再是靠简单的劫持浏览器、捆绑推广等方式,他们不仅开始与下载站等推广平台进行合作暗刷流量,甚至会内置后门程序,通过云控下发各种侵权指令与病毒,来收集用户各类隐私信息加以利用,并随意操控用户电脑,如本文描述的后门程序可以精准收集用户浏览的网页地址,监视用户上网行为,其意图和背后的危害令人细思极恐。对于此类损害用户利益的流氓软件和病毒程序,火绒都将及时的检测拦截,保障用户安全。 |