绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城金币兑换
在各式各样的文件格式中,由于卓越的安全性与阅读性,PDF受到职场人广泛的追捧。因此,PDF格式转换软件如今已成为许多办公人员的必备软件。



然而,这也为网络病毒提供了滋生的沃土。近日,360安全大脑发现一款名为“奇客PDF转换器”的软件正携带恶意暗刷模块和代理模块,通过各大下载站的下载器进行静默传播。病毒模块在用户运行软件后就可被激活,并可以通过控制用户电脑,进行爬虫、暗刷等操作。



由于“奇客PDF转换器”下载用户数量较多,致使该病毒影响范围较大,目前已有数十万用户不幸中招,且感染量还在持续递增。



不过广大用户不必过分担心,在360安全大脑的极智赋能下,360安全卫士等系列产品可及时拦截、查杀该病毒模块,全方位保障隐私及财产安全。





藏身PDF转换器静默推广


三重伪装强势“入驻”用户系统




360安全大脑数据分析显示,带有恶意模块的“奇客PDF转换器”安装包主要是由下载器及PPTV静默推广,安装包在安装完成后,就会通过一个批处理开始安装病毒服务模块。该病毒不仅将服务名称伪装为“数据使用量”,也将指向的文件伪装成系统程序“svchost.exe”,此外,该服务程序实际是使用C#语言编写,但关键代码部分均使用DNGuard HVM进行强混淆。






360社区

360社区

360社区

360社区

360社区

360社区


当打开软件后,主界面如下图:

360社区

360社区

360社区

360社区




软件主程序运行后,会检测该病毒服务模块是否安装,若未安装,还会继续进行病毒服务的安装操作:



360社区

360社区




病毒服务模块安装完成后,程序会创建名为“SDRSVC_93c83”指向“svchost.exe”的服务:



360社区

360社区

360社区

360社区





服务程序启动后,会通过接收来自hxxp://pr.qikels.com:301/GetIpPort? 中的C&C服务器的代理策略,执行代理逻辑转发服务器下发的数据流量,在未经用户允许的情况下占用用户的网络和硬件资源,使用户机器沦为帮助其进行爬虫、暗刷行为的工具。




360社区

360社区

360社区

360社区




远控木马暗刷流量肆虐网络


360安全大脑释放体系化防护力




为实现恶意功能的执行,该程序会将用户机器请求的相应网页数据发送到MainServer中指定的IP和端口上:





360社区

360社区

360社区

360社区



网络请求模块中还内置了一个代理服务器平台地址zproxy.lum-superproxy[.]io:22225。该代理属于Luminati平台(该平台号称拥有超过7200万动态IP),以供进行爬虫的时候可以使用更多的IP地址来进行。



360社区

360社区

360社区

360社区





此外,程序还会开放本地机器的8080-8089端口,做为代理服务器。360安全大脑的研究人员测试时未见有远端设备接入,猜测开启代理可能是为了供其它爬虫类应用继续使用。



360社区

360社区




而爬虫模块还会通过修改UserAgent等信息模拟各种不同设备访问,其中部分UserAgent如下:



360社区

360社区




与此同时,程序还会进行大量的爬虫及验证码打码操作请求。从目前的数据来看,爬虫主要是在各省的国家企业信用信息公示系统里进行全国各地的企业信息数据的爬虫采集,验证码打码请求主要是针对极验(GEETEST)的。



暗刷流量受影响的一些网站不仅包括大众点评、苏宁易购、世纪家缘、乐视等知名网站,甚至还包括一些违法的赌博、色情网站。下图列举了一些部分被请求的链接:



360社区

360社区




360安全大脑数据统计显示,该恶意程序目前已在国内多个省份传播,感染用户总量达数十万,其中广东省受灾情况最为严重。


360社区

360社区





面对远控木马等各类层出不穷的网络安全威胁,为全方位守护网络安全,360安全大脑赋能下的新一代防护体系,不仅推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力,还增加了应对RDP爆破攻击,web应用系统漏洞,webshell攻击等多项针对服务器的防护能力。



同时,依托于2EB+全网大数据和快速分析发现能力,360安全大脑可第一时间发现软件劫持攻击,文件篡改攻击,供应链攻击等各类新生攻击事件,输出体系化防护能力。


360社区

360社区





目前,在360安全大脑的极智赋能下,360安全卫士等系列产品可在第一时间拦截查杀该类木马威胁。同时,面对强势来袭的远控木马威胁,360安全大脑给出如下安全建议:
1.对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,全面拦截各类木马病毒攻击;

2.对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;

3.对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;

4.不随意打开陌生人发来的各种文件。


来源     360安全卫士

共 0 个关于远控木马“寄居”PDF转换器暗刷流量成灾,职场打工人应如何“自救”?的回复 最后回复于 2020-12-1 21:43

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:175 关注:13 积分:178266

精华:307 金币:190005 经验:144202

最后登录时间:2021-3-6

摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

金币兑换

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表