新病毒通过下载站强行添加QQ好友散播黄 赌 诈骗等不良信息

一、概述

近日，新型病毒“VanFraud”正通过国内多家知名下载站的“高速下载器”大肆传播，日感染量最高可达10余万台。该病毒感染用户电脑后，会强行添加QQ好友，散播淫秽、赌博、诈骗等违法信息，还有劫持浏览器首页等侵害行为。经技术排查发现，在“2345软件大全”、“非凡软件站”等18家下载站内（详见下图）均可能被该病毒利用，近期在这些站点下载过软件的用户，都有可能被感染，建议大家尽快使用专杀工具，对电脑进行扫描查杀。

包含该病毒的部分网站：2345软件大全(duote.com)、非凡软件站(crsky.com)、当下软件园(downxia.com)、统一下载(3987.com)、新云下载(newasp.net)、绿茶软件园(33lc.com)、零度软件园(05sun.com)等等几十家知名软件下载站。

病毒“VanFraud”感染用户电脑后，会窃取QQ登录信息，进而在用户QQ中强行添加一位“QQ好友”，并将“QQ好友”拉入用户所在的QQ群中，散播赌博、淫秽、诈骗、高利贷等不良信息；同时会将不良信息转发到用户QQ空间；此外，还会篡改浏览器首页，跳转到2345导航页面。

二、病毒来源

近期发现，数字签名为“Huai\'an Qianfeng Network Technology Co., Ltd.”的高速下载器携带恶意代码。通常，下载站的高速下载器不论最终安装何种软件，下载器程序都是完全相同的（下载器会根据自身文件名中“@”符号后面的软件编号向服务器请求下载相应的软件）。因此，一旦携带恶意代码的高速下载器上线，该下载站所有通过高速下载器安装的软件都会受到恶意代码的影响。带有恶意代码的下载器曾经在2018年1月16日至1月25日和1月30日至2月2日两个时间范围内进行过传播。经过筛查，我们发现可以下载到带有该签名高速下载器的站点众多，但当前公网可以下载到的该签名下载器暂不包含恶意代码。不排除之前两个时间段的测试是为了进行“试水”的可能性，将来可能会全面放开。

携带恶意代码的下载器签名验证信息，如下图所示：

QQ好友推广病毒

该病毒主要用于推广QQ好友，通常被推广的QQ号多会涉及赌博、淫秽、诈骗、高利贷等内容，病毒会利用技术手段强行推广，并借助下载站的高速下载器迅速扩大病毒影响范围。由于病毒操作信息较为敏感，报告中已经对相关内容进行了删减。被强行添加的好友如下图所示：

QQ空间推广病毒

与QQ好友推广类似，病毒首先会在本地获取到当前登录QQ的本地登录信息，之后登录QQ空间转发从远程C&C;服务器获取到的QQ空间动态。用户中毒后，QQ空间会强制转发病毒作者设置空间动态，并会在转发同时加入评论。以下图为例，病毒会强制转发小额贷款内容，转发评论为“过个好年就靠这个了”，以达到其恶意推广目的。如下图所示：【来源：南阳事网】

更多资讯详见：360社区早报（2018-2-12）