新睿云

> 行业动态 > 多款软件内置后门程序,看看你的电脑中招了吗?

多款软件内置后门程序,看看你的电脑中招了吗?

作者/来源:小睿 发布时间:2020-06-24

之前,火绒安全团队曾发现,多款软件静默推广后门程序“眼睛守护神”,并将其捆绑安装至用户电脑后,通过远程服务器下载病毒,并静默推广鲁大师手机模拟大师等其它多款软件。

而近期,火绒安全团队又有所发现,即在用户电脑中存在一批内置后门程序的软件,其中包括万能压缩、起点PDF阅读器、迷你看图王、新速压缩、直购助手等。

火绒安全

火绒安全

这些软件通过云控下发的模块还会投放间谍木马,该木马被用来收集用户浏览器历史浏览记录等信息或利用QQ登陆凭证窃取QQ身份信息。

简单来说,这些软件的后门程序威胁极大,其在用户电脑中下发任意模块并秘密运行。

后门程序加载目的

上述所提及的内置后门程序的软件均是以企业为主体进行开发的,并且经过分析得知,这些软件内置的后门程序与行为具有同源性,这也就意味着背后的攻击者是一个黑灰产团伙的可能性极高。

用户下载安装这些桌面软件后,开发商通过服务器对后门程序下达命令,被加载后的后门程序通过连接云控服务器接收命令并隐秘执行。

这些桌面软件的后门程序侧重于收集用户访问的投诉类网站和财经类网站的详细的网页地址信息。监测并收集用户访问的投诉类网站是担心用户发起投诉,而收集财经类网站则是用来进行投资推销。

作用对象

这些间谍木马收集的财经类网站包括东方财富网、同花顺财经、财联社、新浪财经、腾讯财经、凤凰财经等。

而通常访问这类网站信息的用户大都是股民等投资者,此时这些间谍木马在此类网站上会盗取QQ信息达到收集包括用户年龄性别以及生日等隐私数据的目的

因此,后门程序收集财经类网站信息的行为大概率是以股民为攻击对象进而针对所收集的具有投资倾向的用户进行投资推销。

目前,监管部门对非法投资荐股类保持高压态势,那么所谓的股神们需要更隐秘的渠道来进行推销。

背后黑灰产作怪

火绒团队分析发现这些间谍木马具有同源性表明着背后可能是同一个团伙,这些软件开发商有所不同。

例如万能压缩系是上海嵩恒网络科技股份有限公司开发,而新速压缩是四川智领时代网络科技有限公司开发的。迷你看图王和淘购助手是四川悠闲的熊猫网络科技有限公司开发,该公司与智领时代地址相近或许有所关联

但与崇恒网络没有关系,因此猜测间谍木马极有可能是某个第三方公司开发,并通过这几家公司的垃圾软件进行推广用来窃取用户隐私。

这家第三方公司应该是专门从事黑灰产的公司,或许是通过收集窃取股民和投资者的资料再出卖给非法荐股团伙。

在网上搜索这些垃圾软件可以看到大都是求助如何卸载,其实这些软件本身也是通过其他渠道捆绑安装。目前火绒安全已经直接查杀这些病毒,曾安装过或现在正在使用这些软件的用户建议下载火绒安全进行全盘查杀。

热门标签
new year
在线咨询
咨询热线 400-1515-720
投诉与建议
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待