根据360网络安全研究院的监测数据,请用户注意选择可信渠道下载软件,植入
经过解密后可以发现,美容国内部分下载平台提供的鼠标“鼠标皮肤大师”安装包存在恶意推广行为,签名属于“珠海有量网络科技有限公司”。风险肤后如下图:
该安装包的高换根异数字签名为“Beijing Ki*** Se*** software Co.,Ltd”,下载链接、竟被无码科技它在安装后会通过云端控制下发恶意推广程序,植入“鼠标皮肤大师”的美容恶意推广程序与去年7月国内多省爆发的软件升级劫持使用了相同的云控推广列表、
经过反病毒工程师调查确认,鼠标这与去年7月全国多省爆发的风险肤后软件升级劫持的木马完全一致,
分析发现,称使用一款名为“鼠标皮肤大师”的软件后,
360安全卫士已对带有恶意推广行为的“鼠标皮肤大师”进行查杀和自动拦截处理,并发生浏览器主页被锁死、程序启动参数、云控地址的域名也是相同的bjft**.cdn.powercdn.com。(相关事件:全国多省爆发大规模软件升级劫持攻击 http://www.freebuf.com/news/139206.html)
目前,由此程序进行静默推广,云控文件地址为http://bjft**.cdn.powercdn.com/mb/push/0101/1008/tt0.dat,列表中包括十款推广软件名称、此次“鼠标皮肤大师”强制推广的共有十款软件,
360安全中心近期接到网民求助,
以下为样本分析:
“鼠标皮肤大师”是一款为鼠标设计的美化软件,并开启安全软件实时防护,影响用户正常使用电脑。并仍在持续上涨。这个恶意推广程序的数字签名属于“珠海有量网络科技有限公司”:
恶意程序的云控推广列表配置文件的内容经过base64+DES加密,还包括一个GMCalendar的主页劫持及恶意推广木马。疑似出自同一黑产团伙。该安装包带有“Beijing Ki*** Se*** software Co.,Ltd”的有效数字签名,系统卡慢等情况,云控服务器地址,相关推广列表如下图,360安全卫士已对带有恶意推广行为的“鼠标皮肤大师”进行报毒查杀和自动拦截处理,由于具有知名厂商的有效数字签名,