火绒安全：2345的“点下载站”正在传播木马程序

  科技先生，3月10日——最近，防火墙工程师发现2345的多特蒙德下载站的下载器(高速下载)正在进行传播木马程序的恶意行为。

  具体来说，当用户在多特蒙德下载站下载软件时，在使用了网站的高速下载器后，用户的电脑会立即被悄悄植入一个名为“指挥官”的木马程序。木马程序会在后台运行，不断推广告，悄悄推销其他软件，严重影响用户对电脑的正常使用。为了避免检测和杀死安全软件，木马程序还会主动检测用户计算机中是否安装了安全软件和工具。

  即使用户关闭下载器，“指挥官”仍将驻留在用户的系统中。同时，下载器还会释放病毒，劫持用户的浏览器主页来推广广告程序。

  另外，下载器附带了9个软件，包括有趣的压力，复制兔子，小白看图片等。，而这些无声安装的软件和“指挥官”木马程序是同源的流氓软件。

  规避软件查杀程序的相关配置信息如下图所示:

  规避式软杀伤程序

  下图中的红色框表示与特洛伊木马指挥官相关的升级信息。无声推广软件的相关配置信息如下图所示:

  推广软件的相关配置信息

  除了无声推广软件，多特蒙德下载器将根据其配置下载具有浏览器锁头和浏览器书签功能的流氓程序DTPageSet.exe。虽然该程序可以正常下载到用户的计算机上，但后续的代码执行功能尚未发布，这并不排除将来运行该程序的可能性。下载DTPageSet.exe的相关配置信息，如下图所示:

  下载并运行DTPageSet.exe相关代码，如下图所示:

  下载并运行DTPageSet.exe

  下图显示了受影响的浏览器:

  受影响的浏览器

  tinderbox安全的描述是，它通过下载其他病毒间接对系统构成安全威胁。这种木马通常体积很小，有诱人的名字和图标来吸引用户使用。

  事实上，这不是2345产品第一次被tinder security封锁。早在2017年底，廷德尔安全部门就发出了警报。一种叫做“云计算”的软件正通过各种流氓渠道被广泛推广。该软件除了将用户的计算机用作采矿的“鸡”之外，没有其他功能。这是一个纯粹的采矿工具(生产“零硬币”)。然而，嵌入“云计算”软件的计算机已经成为采矿的“小鸡”。大量系统资源被侵占，导致速度慢、发热等异常现象。

  据悉，“云计算”软件是由2345公司下属的2345王牌技师联盟推出的。许多流氓软件通过“联盟”接受推广任务，通过各种手段在用户电脑上秘密安装软件，然后根据安装数量获得相应的报酬。

  此后，在2019年4月，防火墙安全检测到“2345导航站”首页的一些弹出广告带有盗号木马。该病毒将窃取QQ账户、游戏平台(蒸汽、WeGame)和知名游戏(地下城和勇士、英雄联盟、穿越火线)。

  Firewool Security表示，这是一次精心设计、精心组织的大规模号码盗窃行动，利用周末时间发起突然袭击，主要针对网吧游戏用户。