火绒给2018年的病毒和流氓软件颁了个奖!

​​纵观刚刚过去的2018,依旧是病毒、流氓软件狂欢的一年:有商业公司公然制作的流量劫持病毒,有知名软件家族传播的木马病毒,有通过微信支付的勒索病毒,还有利用激活工具、下载站等大量传播的流氓软件……这些病毒、流氓软件用自己的性命和名誉考验着国内安全厂商的实力,可谓“兢兢业业”。为此,火绒特别挑出2018年“辛勤耕耘”的十大病毒(流氓软件),看看它们的“非凡成就”,给它们颁个奖。

勤奋奖:某商业公司制作的流量劫持病毒”FakeExtent”

时间:12月19日

某商业公司旗下产品”天馨气象”表面为天气类插件,实则是流量劫持病毒”FakeExtent”,通过”WIN7之家”等下载站中的多款激活工具大范围传播。病毒会篡改系统配置、劫持流量,并与上游公司分成。更令人担忧的是,当时该病毒释放的一个插件带有该公司的签名,除火绒外,没有安全厂商对该病毒插件报毒。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:以极端的捞钱手法,展示了资本寒冬下企业错误的自我救赎方式。

创新奖:利用“驱动人生”传播的病毒“DTStealer”

时间:12月14日

 “驱动人生”旗下多款软件(“驱动人生”、“人生日历”、“USB宝盒”等)升级通道被利用散播“DTStealer”病毒。病毒进入电脑后,继续通过“永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。火绒工程师推测,病毒团伙当时可能是在进行传播测试。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:比病毒本身可怕的是,它们还懂得风险和试水。

新星奖:“微信扫码”收赎金的新型国产勒索病毒

时间:12月1日

一种新型的勒索病毒在国内爆发,4天时间内就感染10万用户。该勒索病毒并不勒索比特币,而是要求受害者通过微信扫码支付赎金。此外,病毒除了锁死文件,还窃取了数万条支付宝、淘宝、京东等账户密码。火绒也在第一时间升级产品并推出解密工具。

该勒索病毒利用“供应链污染”的方式传播,通过感染编程工具“易语言”中的模块,扩散到使用该工具编译后的软件。通过技术溯源,火绒追踪到疑似该病毒制作者,并将信息提交给警方。12月6日,警方在东莞抓获嫌疑人罗某。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:能让比特币跌份儿的勒索病毒支付方式。

热点奖:”双十一”前后大爆发的流氓软件

时间:11月

根据火绒安全团队的监测、统计和分析,2018年 “双十一”前后,流氓软件爆发达到全年顶峰。10余款知名软件(包括360家族、2345家族、布丁系列软件)通过”广告弹窗”、”静默推广桌面快捷方式”等方式,日均袭扰近8000万台电脑,日均流氓推广1.7亿次。并且,这段时间侵权弹窗的样式有上百种之多,形式也是多种多样,包括全屏弹窗、居中弹窗、右下角弹窗、托盘闪烁提示弹窗等,并且均为天猫的广告。

由于2345、布丁等软件的侵权行为完全病毒化,已被”火绒安全软件”当作电脑病毒查杀。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:电商有多狂欢,流氓有多嚣张。

演技奖:伪装成激活工具的病毒”FakeKMS”

时间:8月30日

病毒”FakeKMS”伪装成”小马激活”、”KMS”等知名激活工具,通过激活工具下载站点进行传播。病毒不具备任何激活功能,一旦入侵用户电脑,会立即劫持浏览器首页,同时还会静默安装360安全浏览器和2345浏览器,进而牟利。另外,该病毒还会通过内核级对抗手段躲避安全软件查杀。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:挂的是烂羊头,卖的是毒狗肉。

劳模奖:传播病毒和多款流氓软件的”快压”

时间:7月11日

知名压缩软件”快压”在年中时用一轮演出诠释了什么叫多才多艺:传播木马病毒”Trojan/StartPage.ff”,劫持被感染电脑浏览器首页;还懂得流氓之道,在用户电脑中弹出广告、创建”淘宝”、”百度”桌面快捷方式;此外, “快压”还会推广其他流氓软件(”小黑记事本”、”ABC看图”等)。火绒工程师通过查询注册信息发现,”快压”与其推广的部分流氓软件或系同一个团队制作。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:我是劳模“快压”,希望2019年,“病毒”、“流氓”两开花。

霸道奖:全面劫持各大主流浏览器的后门病毒”Humpler”

时间:6月21日

后门病毒”Humpler”伪装成多款小工具(如:老板键、屏幕亮度调节等),通过2345软件大全等多个知名下载站进行传播。病毒入侵电脑后,会劫持QQ、360、搜狗等(市面上所有主流)浏览器首页。

它的霸道不仅在于劫持的浏览器多,而且在运行前会弹出弹框,假模假样询问用户是否”愿意支持”该软件,最终用户无论选择支持还是不支持,病毒都会劫持浏览器首页。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:劫持的最高境界,就是不挑,是个狠毒。

巅峰奖:通过四十余款破解工具疯狂传播的病毒”Socelars”

时间:5月25日

病毒”Socelars”通过KMSpico、AdobePhotoshop等四十余款软件破解工具进行传播。该病毒会利用被感染用户的facebook临时登录凭证,专门窃取用户当前绑定的信用卡账户、好友信息等隐私数据。

由于国内外大多数安全厂商会将破解工具识别为病毒,不论它是否真的包含恶意代码。所以,很多用户在下载使用破解工具时,会认为安全软件的报毒都是误报,直接关闭安全软件,或选择信任,形成了心理盲区。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:携四十款破解工具出征,感觉“毒生”已经到达了巅峰。

心机奖:暴风等知名软件广告页遭病毒团伙的”挂马攻击”

时间:4月13日

暴风等多家知名软件、网站的广告页面遭到病毒团伙的”挂马攻击”。用户访问该页面,即会触发IE浏览器漏洞,导致病毒代码被自动激活。病毒入侵电脑后,会篡改网银转账信息,并且可以随时通过后门远程操控用户电脑,进行其他破坏行为。此外,该病毒还会利用用户电脑疯狂”挖矿”;以及强行将用户添加到一个QQ群中,并禁止退群、举报等操作。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:暴风在“挂马攻击”的风暴中成了背锅侠。

经济奖:暗藏恶意代码劫持流量的“ADSafe”

时间:3月9日

“ADSafe净网大师”、”清网卫士”、 “广告过滤大师”等多款知名软件暗藏恶意代码,偷偷劫持用户流量。这些软件出自同一公司,功能类似,主要是屏蔽网页广告。根据技术分析,三款软件都会通过替换计费名(不同网站和上游分成的标识)的方式来劫持流量,牟取暴利。其劫持网站数量为近年最多,已达50余家,包括国内多家知名导航站、电商以及在线消费交易平台等。

《火绒给2018年的病毒和流氓软件颁了个奖!》

点评:“大师”和“卫士”们的副业做的风生水起。

转载:火绒实验室