近日,火绒安全检测到一起大规模流氓软件推广事件,多款流氓软件通过名为“PCUpdateCore.exe”的程序实施恶意行为,已导致数万设备感染,波及数十类工具下载网站。
根据火绒威胁情报系统监测,该程序已感染超过数万台电脑,传播范围波及数十类工具下载网站,包括 Zip 解压缩、录屏、PDF转换器、壁纸、DLL 修复、全能格式转换、OCR 扫描等多种类型。
火绒安全查杀报毒
此程序的主要逻辑为:通过代码伪造安装界面,包括构造所需数据、下载配置文件、获取云端配置信息,并完成UI 设置;随后,通过用户点击按钮的操作触发静默安装。
分析发现,该程序主要通过捆绑在 Zip 解压缩、PDF 转换器及录屏软件等常用工具的安装包中进行传播。一旦运行,它会从云端拉取文件并创建服务以实现持久化驻留。随后,该程序会持续获取云端配置,执行包括静默推广安装金山毒霸、WPS、CAD看图王等软件在内的一系列流氓行为,并最终伪装成插件进行集成和大规模传播。
试图安装软件
该程序还会进行弹窗,修改右键菜单,频繁进行推广等操作
弹窗展示:每隔 1.5 小时触发一次。
更新检查:每 8 小时执行一次。
通知(广告/推送)检查:每 10 分钟轮询一次。
右键菜单内容更新:每 4 小时进行一次。
该程序还会从云端下载并安装插件。分析发现,程序存在严重安全隐患:它将阿里云 OSS 和腾讯云 OSS 的 accessKeyId 与 accessKeySecret 明文硬编码在自身代码中。一旦攻击者获取这两个密钥,即可直接登录并访问对应的云存储桶,可能引发进一步的网站攻击。
对下载的云端插件(.NET DLL)深入分析发现,其主要功能是投放广告弹窗,涉及的推广目标包括:WPS、金山毒霸、右键菜单插件、CAD看图引流插件、打印机引流插件、具备卸载360画报(netpower_huabao)作用的插件等。
目前火绒、联想电脑管家等安全卫士已将其纳入病毒数据库,在此程序试图运行时将对其进行拦截等操作
联想电脑管家在程序试图运行时报毒
在此提醒大家,请尽量从官方渠道下载软件,并在安装时注意取消勾选掉具有捆绑操作的选项,尽量不要从不明的第三方网站下载软件。如果发现自己的电脑出现了频繁弹窗或者莫名其妙的软件被安装,请尽快使用安全卫士进行查杀,并按照安全卫士引导删除相关文件。
更多游戏资讯请关注:电玩帮游戏资讯专区
电玩帮图文攻略 www.vgover.com
