注意！某知名國產軟體被曝攜帶木馬病毒

據火絨威脅情報系統監測，火絨工程師發現

奇客PDF轉換器

攜帶惡意代理模組，正在透過下載站下載器進行推廣。

據瞭解，近期火絨接到許多使用者反饋稱電腦會莫名卡頓，CPU佔用率高。

且程序svchost。exe、FnClientService。exe、FnClientService20。exe之一會訪問大量的陌生網址。

最終經工程師分析發現，使用者電腦出現此現象正是由於安裝奇客PDF轉換器所導致的。

火絨工程師分析發現，奇客PDF轉換器主要是透過

下載站的下載器

進行靜默傳播推廣。

然後，在使用者安裝軟體的過程中，它就會釋放惡意代理模組到%appdata%\tx目錄。

簡單來說，就是該軟體攜帶的惡意代理模組會在不被使用者發現的情況下，利用使用者電腦訪問大量的陌生網址，導致使用者電腦CPU佔用率變高，系統變得卡頓。

並且，

即使使用者解除安裝奇客PDF轉換器，其惡意代理模組也不會被隨之刪除

，而是作為系統服務，開機自啟，達到永久駐留在使用者電腦中的目的。

另外，火絨還發現了若干版本的奇客PDF轉換器與其釋放的惡意代理模組。

無論是何種版本的惡意模組，其功能程式碼都極為相似。

經過溯源分析發現，奇客PDF轉換器安裝包及其釋放的惡意代理模組svchost。exe的均來自於

杭州某科技有限公司

。簽名信息如下圖所示：

該公司旗下網站“ZL軟體”則主要經營流量代理服務。

對於某些垃圾軟體下載站的靜默推廣行為，大家應該都非常熟悉了。

當我們在某個資源網站下載軟體時，如果點選了高速下載，那麼下載的可能並非是軟體本身，而是所謂的“高速下載器”。

而這種下載器，很可能會在使用者後臺捆綁安裝大量垃圾軟體，這就叫作靜默推廣。

此前在國內爆發的「麻辣香鍋」病毒，也是與某些垃圾系統下載站達成合作，在這些下載站推廣帶毒的工具和系統。

這次中招的奇客PDF轉換器，同樣是透過這種方式進行傳播的。

當用戶安裝這個軟體後，則會中毒並淪為攻擊者的肉雞，使用者卻很難發現。

火絨稱，目前，該惡意軟體僅單日侵擾使用者量就達數萬，請大家小心防範。

目前火絨安全軟體已經升級病毒庫可對奇客轉換器進行查殺，如果大家曾經使用過該轉換器，建議進行查殺確保安全。

感謝閱讀，我是

@豆花花 ；

關注我，一起學習一起玩耍~

豆花花：Python又添一大科學計算庫，PyArmadillo釋出豆花花：哎呀瑪，這軟體有點牛掰了！務必低調使用！