PDF转换器投放木马将用户终端变为获利工具

用户6477171

修改于 2024-04-22 17:21:31

1.1K0

修改于 2024-04-22 17:21:31

【快讯】

根据“火绒威胁情报系统”监测，火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块，正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下，利用用户电脑访问大量的陌生网址，导致用户电脑CPU占用率变高，变得卡顿。

目前，该恶意软件仅单日侵扰用户量就达数万，请大家小心防范。火绒最新版（个人版、企业版）可及时拦截、查杀上述恶意代理模块，且不影响软件正常功能，用户可放心使用。

火绒工程师分析发现，即使用户卸载“奇客PDF转换器”，其恶意代理模块也不会被随之删除，而是作为系统服务，开机自启，达到永久驻留在用户电脑中的目的。此外，我们还发现了若干版本的“奇客PDF转换器”与其释放的恶意代理模块，但无论是何种版本的恶意模块，其功能代码都极为相似。

通常，黑客可以使用代理模块将用户的终端设置为代理服务器，并通过占用用户终端的网络和计算资源，来进行爬取网站信息、网络攻击等行为。如此一来，即便被入侵的一方发现攻击并进行溯源，也只会看到被设置为代理服务器的用户终端地址，而真正的攻击者便可以借此躲避追查。

值得一说的是，火绒工程师进一步溯源发现，“奇客PDF转换器”安装包及其释放的恶意代理模块所属为同一公司，且该公司旗下网站主要经营流量代理服务。因此，不排除该企业利用上述恶意代理模块控制用户电脑成为代理服务器，并进行售卖盈利的可能。

这也与我们此前发现并分析的“流星加速器”携带恶意代理模块事件近乎一样，由此也可以看出，恶意代理模块正在被广泛的投入商业化使用中，并威胁用户安全。对此，火绒在帮助用户拦截此类威胁的同时，也再次提醒大家小心防范。

附：【分析报告】

一、详细分析

近期，火绒接到许多用户反馈称电脑会莫名卡顿，CPU占用率高，且如下进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。经分析发现，用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。该恶意软件与先前分析过的流星加速器类似（“流星加速器”恶意投毒控制用户电脑恐用于商业牟利），都是通过下载站下载器进行静默传播推广。在该恶意软件安装过程中会释放恶意代理模块到%appdata%\tx目录。即使用户卸载奇客PDF转化器，恶意代理模块也不会随之删除，而是作为系统服务，开机自启，永久的驻留在用户电脑之中。虽然不同版本的奇客PDF转换器释放的恶意代理模块名称不同，但是功能代码极为相似，下文以svchost.exe分析说明。相关运行流程如下图所示：

运行流程图

奇客PDF转化器运行后，会在用户%appdata%目录下创建tx文件夹，将相关代理模块释放于其中。随后运行start.bat脚本，该脚本根据用户电脑的.NET环境来决定运行Start2.0.exe还是Start4.0.exe。Start2.0.exe/Start4.0.exe运行之后会遍历系统服务，如果不存在名为“SDRSVC_93c83”的服务或该服务没有正在运行则启动相应目录下的svchost.exe。相关代码如下图所示：