日前,火絨安全團隊發現某商業公司制作的流量劫持病毒"FakeExtent"(産品名為"天馨氣象"),正通過"WIN7之家"等下載站中的多款激活工具大範圍傳播。該病毒入侵電腦後,會釋放多個惡意插件,篡改系統配置、劫持流量。 通過"火絨威脅情報系統"監測和評估,已有數十萬台電腦被該病毒感染。
目前,國内外安全軟件僅對該病毒進行查殺,并不查殺該病毒植入的某些惡意插件,這導緻被感染用戶在主病毒被殺之後,依然面臨被攻擊的風險。2015年,360安全團隊曾曝光過該病毒團夥,之後該團夥有所收斂,最近他們重出江湖,并利用激活工具傳播病毒。
"火絨安全軟件"無需升級即可查殺該病毒,建議近期下載過下述軟件的用戶,盡快使用"火絨安全軟件"對電腦進行掃描查殺。
火絨工程師分析發現,病毒作者将病毒"FakeExtent"植入到 "KMSTools"、"暴風激活工具V17.0"等軟件激活工具中,并上傳到 "WIN7之家"等下載站中,用戶一旦下載并運行上述軟件,該病毒就會感染電腦,向用戶浏覽器中安裝名為"天馨氣象"和"星馳天氣助手"病毒插件。并向IE浏覽器中添加BHO插件。
上述惡意插件進入用戶電腦後,将會劫持浏覽器流量、網頁廣告彈窗以及将下載的安裝包替換為病毒作者提供的渠道包,然後挂上和上遊公司分成的計費名,以和其分成。
火絨工程師發現BHO插件帶有"上海旻嘟網絡科技有限公司"簽名,截至發稿,除火絨外,仍沒有安全廠商對該插件報毒。
根據火絨工程師溯源分析,此次火絨發現的病毒插件與2015年就被曝光過的病毒插件"叮叮天氣"公司法人信息基本一緻,可以确認為同一個病毒制作團夥所為。
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
