警告！2345旗下多特软件站正在传播木马程序！

　　据火绒安全实验室最新消息，日前上市公司 2345 旗下“多特软件站”正在通过所谓的高速下载传播木马程序劫持用户。

　　“多特软件站”是国内老牌下载站，此前也多次被发现传播木马。

　　用户下载运行该下载器后，会立即被静默植入一款名为“commander”的木马程序，该木马程序会在后台运行，并根据云控配置推送弹窗广告和流氓软件。

　　即使用户关闭下载器，“commander”仍然会一直驻留用户系统。同时，该下载器还会释放病毒劫持用户浏览器首页，用以推广广告程序。

　　通常这类下载站被检测到病毒等恶意行为后都会撤掉木马躲避风头，待风声过去继续投放木马侵害消费者的权益。为了躲避安全软件的查杀，该木马程序还会主动检测用户电脑中是否安装安全软件和工具。

　　比如此次被火绒发现的下载器木马就会在后台执行静默安装，同时还会劫持用户浏览器强制修改浏览器主页等等，用来推广广告程序。

　　多特下载站此次传播的下载器木马为上海某公司开发，当用户执行后木马便在后台自动运行并开始静默安装软件。

　　由于既没有活动窗口也不会在桌面右下角显示图标，因此用户不会发现异常直到桌面上出现各种垃圾软件的图标。

　　这款下载器木马主要会静默安装诸如趣压、拷贝兔和小白看图等软件，火绒分析发现这些软件与木马系同源软件。

　　也就是说上海这家公司专门开发这款下载器木马用于传播这类流氓软件，甚至用户卸载后还可以自动重新安装等。

　　目前网上有许多用户抱怨趣压等软件卸载后又会复活，显然上海这家公司还在这类流氓软件里也暗藏着木马病毒。

　　360浏览器被劫持

　　
捆绑浏览器主页自然不会少

　　这类下载站传播木马通常不会只捆绑软件这么简单，毕竟花钱推广肯定要榨干用户价值实现灰色利益最大化。

　　例如此次多特软件站传播的木马还会劫持所有主流浏览器，在用户已安装的浏览器里强制修改主页添加广告书签。

　　在浏览器方面主要恶意行为包括：强制修改所有已安装浏览器的主页、添加返利网站书签、添加游戏推广书签等。

　　木马也会在后台静默运行并定时检查这些广告内容，如果用户删除或者修改主页的话木马还会再执行流程再修改。

　　受影响的浏览器如下图所示：

　　弹窗广告甚至带有露骨内容

　　连木马都开始进行弹窗广告：

　　以往下载器木马主要都是静默安装推广软件，诸如篡改浏览器主页等恶意行为时有发生但相对来说还不是特别多。

　　而在桌面疯狂弹广告在以往的下载器木马里非常少见，此次多特软件站传播的下载木马就会在桌面上疯狂弹广告。

　　火绒工程师分析发现该木马会请求服务器下载弹窗配置文件，然后不断的在桌面右下角弹出形式多样的广告窗口。

　　这些广告弹窗以所谓的热点资讯为噱头中间夹杂着各种垃圾广告，甚至某些广告还有各种露骨广告诱导用户点击。

　　此外或许是为了规避监管部门查处，木马运行时还会检测用户所在地区规避某些重点城市即这些地区不执行动作。

　　不执行动作的城市包括：北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。

　　不得不说多特软件站此次传播的下载器木马功能丰富、恶意行为多样化。

　　当然也建议用户一定要通过官网等正规渠道下载软件，谨慎使用下载站等第三方下载器下载软件，必要时可先使用可靠的安全软件对其进行扫描后再使用。如有必要请安装杀毒软件提高系统的防御能力。

　　文章整合自：火绒安全、网络