日前,火絨安全團隊發現,萬能壓縮、起點PDF閲讀器、迷你看圖王、新速壓縮、值購助手等一批軟件內置後門程序,該後門可用來下發任意模塊到用户電腦隱秘執行,威脅極大。目前,我們發現其雲控下發的模塊會投放間諜木馬,用以收集用户瀏覽器歷史記錄等信息。此外,該木馬還會利用QQ登錄憑證竊取QQ身份信息。
由於所述軟件通過官網和各下載站進行傳播和推廣,影響範圍較大,建議近期下載安裝過的用户及時排查。火絨用户無須擔心,火絨軟件最新版已對所述軟件中的後門程序進行攔截查殺。
分析發現,該後門程序下發的雲控配置,除了統計用户電腦中軟件安裝情況外,主要用來收集用户瀏覽器瀏覽記錄,並回傳至後台。與以往我們披露的瀏覽器收集行為不同的是,該後門收集的瀏覽器歷史記錄已經具體到詳細的網頁地址,並可根據搜索的關鍵字隨時遠控收集行為和內容。
截至目前,所收集的瀏覽器網頁記錄多與舉報投訴類和財經類網站相關,包括12315、新浪投訴平台、同花順財經等,但不排除後續通過雲控下發收集其它瀏覽記錄命令的可能。
此外,該後門程序投放的間諜木馬,還會利用用户QQ登錄憑證,進入QQ空間竊取用户的年齡、出生日期、性別等重要個人隱私信息並回傳至後台,嚴重侵犯用户隱私。
通過軟件和代碼溯源,我們發現上述軟件均為同源軟件產品,且與我們曾披露過的萬能壓縮、Clover等軟件(詳見報告《》)帶有相似的遠程模塊的調用方式,或系同一家流氓軟件廠商所為。
近年來,流氓軟件廠商傳播的套路不再是靠簡單的劫持瀏覽器、捆綁推廣等方式,他們不僅開始與下載站等推廣平台進行合作暗刷流量,甚至會內置後門程序,通過雲控下發各種侵權指令與病毒,來收集用户各類隱私信息加以利用,並隨意操控用户電腦,如本文描述的後門程序可以精準收集用户瀏覽的網頁地址,監視用户上網行為,其意圖和背後的危害令人細思極恐。對於此類損害用户利益的流氓軟件和病毒程序,火絨都將及時的檢測攔截,保障用户安全。