数款软件披合法外衣干违法勾当 腾讯电脑管家精准拦杀

2018-12-13 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯电脑管家团队监测到“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件在用户不知情的情况下被植入Steam盗号木马,下载安装“独狼”Rootkit病毒,非法控制用户电脑进行数字加密货币挖矿、强制广告等非法业务谋取私利。截至12月12日,Steam盗号木马累计感染超过5万台电脑,受害用户主要为游戏玩家。

伴随着网络游戏的流行,游戏行业和电竞产业日渐发展,并逐渐得到社会认可。与此同时,游戏行业也不断滋生出一些违法犯罪行为,一些不法分子通过非法手段控制玩家电脑,攫取用户兜里每一分钱,实现利益最大化。

近日,腾讯电脑管家团队监测到“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件在用户不知情的情况下被植入Steam盗号木马,下载安装“独狼”Rootkit病毒,非法控制用户电脑进行数字加密货币挖矿、强制广告等非法业务谋取私利。截至1212日,Steam盗号木马累计感染超过5万台电脑,感染用户首要集中游戏玩家,并有显著上升趋势。目前,腾讯电脑管家已全面拦截并查杀该木马。


(图:腾讯电脑管家下载保护拦截到病毒下载)

本次作案团伙将目标锁定Steam游戏玩家。据腾讯电脑管家安全专家介绍,该类软件运行后首先会下载伪装成WPS软件,然后下载安装“独狼”Rootkit病毒。这些恶意程序会注入到合法进程中工作,通过营销推广、恶意推装更多软件进行获利,给用户的生活和工作均造成较大的困扰。

腾讯电脑管家经过对该木马溯源分析,发现伪装手法高明是“独狼”Rootkit木马的一个重要特征。该木马直接盗用“北京方正阿帕比技术有限公司”合法公司签名,使其能够取得系统及杀毒软件的信任,从而增加获得执行和驻留的机会。数据显示,近一周内使用该签名的木马文件多达300余个且都以盗号木马为主,表明该作案团伙已对该签名进行了批量利用。

同时还发现,Rootkit木马使用的签名颁发者为Digicert,而该公司正常软件的签名颁发者为VeriSign。基于此,腾讯电脑管家安全专家认为,同一家公司很少有同时向两家不同的认证机构申请认证服务,基本判断是属于伪造证书的情况,即木马作者疑伪造“北京方正阿帕比技术有限公司”公司的信息向Digicert申请了数字证书。

 

(图:木马(左)与正常软件(右)签名对比)

而在今年11月底,腾讯电脑管家也曾监测发现一起类似攻击事件,某输入法软件及某网吧管理软件内嵌的广告页面遭遇网页挂马攻击,同样传播一种会窃取Steam游戏玩家账号密码的病毒。如此来看,Steam游戏玩家已被不同的盗号木马团伙盯上,成为新的作案目标。

作为近几年最为盛行的木马病毒,“独狼”Rootkit病毒具备传统查杀方法无法根除,且部分具有极强的破坏性等显著特征。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,建议开启腾讯电脑管家等安全软件并保持运行状态,对各类病毒木马实时防御;另外不要轻易在论坛、社区等下载安全来路不明的软件,建议到软件管理等正规渠道下载安全软件,可以有效减少病毒木马的侵害。

(图:腾讯电脑管家拦截并查杀该木马)

同时,马劲松还提醒企业用户,务必保护好自由数字签名安全,一旦发现公司签名受到网络攻击,建议及时发布公告,并通过官方渠道联络证书颁发机构将非法申请证书注销,以此减少或避免用户损失。

电脑管家 V16

全新上线 更轻更快