火绒安全团队发现,病毒团伙正利用"远景"论坛的系统镜像文件传播后门病毒"WenkPico"。该病毒入侵用户电脑后,会劫持导航站、购物网站以及软件安装包流量,牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块,攻击其它安全软件,让部分安全软件的"云查杀"功能失效,使用户电脑失去安全防护。
火绒工程师分析发现,病毒团伙将病毒嵌入在系统镜像文件中,当用户从"远景"论坛中下载安装这些系统镜像文件后,就会运行病毒。建议近期下载该系统镜像文件的用户,尽快查看电脑C:\windows\system32\drivers目录,如果出现名为EaseFlt.sys和adgnetworkdrvw.sys的驱动文件,则表明已经中毒,可使用 "火绒专杀工具"彻底查杀该病毒。
病毒侵入用户电脑后,会通过多种方式劫持流量,牟取利益:将用户的导航劫持为Hao123或2345导航页;让用户访问购物网站时跳转到购物返利的链接中(受影响的购物网站如下图);还会劫持用户下载软件的地址,并替换为病毒团伙上传的软件渠道包。病毒团伙可随时通过C&C服务器更改被劫持的软件下载地址,不排除未来会向用户电脑派发更具威胁性病毒的可能性。
更可怕的是,该病毒利用了国内安全厂商软件模块,可阻止国内外主流安全软件联网查杀(受影响安全软件如下图),对依赖"云查杀"的360安全卫士影响较大,使云查杀功能失效,并且阻止安全软件上传病毒样本;对卡巴斯基等具备本地杀毒引擎的安全软件影响较小。火绒用户无需担心,"火绒产品(个人版、企业版)"使用自研新引擎,断网环境下,杀毒能力不受任何影响。
最终,通过技术溯源发现,该病毒利用的软件模块带有的数字签名为"Shandong Anzai Information Technology CO.,Ltd."("山东安在信息技术有限公司"),建议该公司尽快排查。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
