当前位置:首页-正文

火绒发现压缩管理软件快压传播病毒劫持用户

火绒安全实验室昨日晚间发布分析报告称知名压缩管理软件快压传播病毒和捆绑流氓软件并劫持用户浏览器。

按火绒团队的分析快压传播病毒用于劫持浏览器首页,同时捆绑推广其他流氓软件以及在桌面弹出广告等等。

另外其推广的软件实际也属于该公司法人代表的公司,这些捆绑推广的软件如小黑记事本等更疯狂的弹广告。

火绒安全团队发现压缩管理软件快压传播病毒劫持用户

劫持浏览器和规避安全软件查杀:

用户安装快压后还会被附带安装浏览器工具栏、光速搜索、ABC看图、小黑记事本、小鱼便签等等多款软件。

同时诸如QQ 浏览器和谷歌浏览器等浏览器首页会被劫持,但以上行为还算常见因此对用户来说也司空见惯。

不过快压还会检测用户电脑是否安装安全软件,例如检测到腾讯电脑管家和360 以及金山等则不会进行劫持。

显然正常的软件以及正常的推广行为不会做这种规避措施,火绒团队则认为只有恶意代码才会执行这种逻辑。

火绒安全团队发现压缩管理软件快压传播病毒劫持用户

开发者通过远程服务器操纵捆绑的软件:

快压安装包通过连接开发者的远程服务器来请求捆绑配置文件,配置文件会判断用户电脑上安装的不同杀软。

如果检测到特定安全软件的进程则会执行不捆绑策略,例如检测到无特定安全软件则安装主页卫士流氓软件。

这款流氓软件属于快压相同团队开发并且静默安装,即用户在毫不知情的情况下会被安装并劫持浏览器主页。

火绒安全团队发现压缩管理软件快压传播病毒劫持用户

不带关闭按钮的弹窗广告:

首先需要说明的是根据相关规定所有弹出式广告都必须带关闭按钮,如果不带关闭按钮那就是违反相关规定。

快压在安装后会检测用户电脑是否安装工具栏、QQ 浏览器和爱奇艺视频,如果没有安装则会弹出欺诈广告。

称之为欺诈广告的原因在于这个桌面弹出不带关闭按钮、并且还所谓的已经优化快压之类诱导用户点击确定。

每次开机联网检查并按环境进行弹窗:

快压还会通过右键菜单中的控件运行所谓的更新检查程序,但是实际上这个检查程序是用来加载弹窗广告的。

和之前那样快压还是会检查用户电脑是否安装特定安全软件,如果安装了则不会执行弹窗广告防止遭到拦截。

实际弹窗广告中包含聚划算广告、快压头条和小贴士之类的东西,这些弹窗安装不同的环境进行不同的弹窗。

火绒安全团队发现压缩管理软件快压传播病毒劫持用户

争议1:快压发布公告称火绒检测有误

快压发布的公告称火绒团队分析的版本为 2016 年快压被感染木马的版本,当时各大安全软件已经对此查杀。

同时火绒安全团队的分析报告中也提到最初 2016 年就已经对快压携带的病毒Trojan/StartPage.ff进行拦截。

火绒安全团队称最近1 个月内Trojan/StartPage.ff病毒的感染量急剧提升,这也是火绒这次追查的主要原因。

争议2:弹窗广告算流氓软件吗?

快压在公告中称很多国产软件例如某输入法通过弹窗广告进行盈利,因此快压这样做似乎并没有不对的地方。

当然在此我们也认为经过用户同意的情况下弹窗也不违规,快压的迷你新闻模块在设置中可以主动取消勾选。

然而快压团队并没有解释按照不同环境执行不同策略的原因,例如每次开机检查下载所谓的小贴士弹窗程序。

如果电脑安装特定的安全软件则不会执行这些弹窗以及捆绑行为,显然这种做法通常只有恶意软件才会使用。

因此火绒对此进行拦截也并没有什么不对,所以快压团队如果想要自证清白则应该继续解释这种行为的原因。

本文来源火绒安全实验室,由山外的鸭子哥转载或编译发布,如需转载请联系原作者。