从6.18大战百万弹窗,到连发四篇报告分析WannaRen勒索病毒,从揭露2345旗下下载站传播木马程序,到发现“企鹅FM”视障版被定向投毒……纵观整个2020年,又是火绒与各类病毒、流氓斗智斗勇的一年。在此,我们选出2020年中最受用户关注的10篇安全报告,带大家重新回顾去年流氓、病毒“不讲武德”的种种恶意行为。
(以下出现病毒、流氓,火绒均可拦截查杀,勒索病毒也被破解并推出解密工具)
第十名:“流星加速器”恶意投毒控制电脑 影响百万用户8月14日,火绒监测到一款名为“流星加速器”的软件,携带恶意代理模块及后门模块,通过电脑各大下载站下载器静默推广传播,影响上百万用户。病毒可以控制用户电脑执行任意命令,并且在用户卸载该加速器软件后,还会驻留电脑中。在进一步溯源中发现,“流星加速器”所属公司本身就拥有大量数据爬虫采集、流量代理加速等相关产品,而利用病毒控制电脑,或许就是他们商业盈利的恶意手段。
点评:流星加速器,留心加速器
9月1日,火绒根据用户反馈,发现“老毛桃U盘启动装机工具”制作的PE系统中,被植入了木马病毒。病毒运行后,会替换浏览器设置、强制安装软件,甚至卸载安全软件。另外,“老毛桃”所属旗下公司其它工具如“大白菜超级U盘装机工具”和“晨枫工作室U盘启动盘制作工具”等也均被植入木马病毒,存在删除安全软件、替换浏览器设置等恶意行为。
点评:装机工具装了病毒,这河里吗?
2月21日,火绒揭露名为“广告净化器”的浏览器插件存在流量劫持行为:通过替换计费名的方式,劫持用户“京东”和“淘宝”链接的计费号,并且其插件代码中还被放置了云控开关,随时执行劫持命令。令人惊讶的是,该插件开发者还在官方公告中公开了上述劫持行为,称其为“生存所需”。
点评:一张嘴就是老生意人了
11月12日,火绒发现中国联通官网PC端携带木马脚本,可在用户访问“业务办理记录”页面时激活,强制跳转界面至色情、游戏等推广页上。不仅如此,该木马脚本为长期驻留该网页,还将跳转程序设定为一天一次,以便降低用户警惕性。
点评:2020年差点被社死的电信运营商
3月6日,火绒工程师发现2345旗下“多特下载站”的下载器传播“commander”木马程序。该木马程序运行后,会根据云控配置推送弹窗广告和流氓软件,还可以主动检测用户电脑中是否安装安全软件和工具,以此躲避安全软件的查杀,即便用户关闭了下载器,木马程序也会一直驻留在用户系统内。
点评:你这下载器隔离14天然后杀毒了嘛?
7月18日,腾讯旗下“企鹅FM”软件无障碍版安装包遭黑客投放后门病毒,该病毒除实施感染文件、屏幕截图等后门病毒常见恶意行为外,还会远控操作用户电脑,关闭读屏软件及终端音频,因此火绒推测该投毒事件主要是针对视障人群进行的。
点评:这些黑客不讲武德,来骗,来偷袭,欺负视障人士,这好吗,这不好。
4月24日,多位网友反馈遭遇勒索病毒,并被病毒作者引导前往火绒论坛求助。火绒溯源分析发现,勒索病毒为易语言编写,加密文件后缀都会带有“_HD”样的字符。但不同的是,该病毒并未留下联系方式及赎金信息,仅提供了一段可逆的解密算法及部分解密线索,留下了“我是勒索,求逆算法”的挑衅言语。最终,事件以火绒顺利破解病毒推出解密工具告一段落。
点评:“像这种要求,我这辈子没见过”
6月23日,火绒发现一款名为“普天同庆”的感染型病毒,正通过玛雅软件快速传播。该病毒可感染玛雅软件的脚本文件,致使其制作的场景源文件也携带该病毒。更可怕的是,火绒分析发现该病毒将于27号集中发作,届时用户打开玛雅源文件时,将出现卡死现象,会严重影响用户的工作进程。为此,火绒于23日晚连夜制作了针对该病毒的专杀工具,抢在病毒前帮助用户修复文件,排除隐患。
点评:普天同庆放的不是烟花,而是定时炸弹
4月4日,“WannaRen勒索病毒”大范围传播。火绒在分析后,发现网传的病毒样本实际为病毒作者留下来收取赎金的解密器,不具备任何恶意代码,并于随后溯源到真实的病毒样本。种种迹象表明,该病毒为国人所做。令人意想不到的是,随后该病毒作者通过用户向火绒提供了相关解密密钥,火绒工程师验证有效后,电脑将密钥公布出,号召广大同行共同制作解密工具,帮助受影响用户挽回损失。
点评:WannaCry看了直呼内行
6.18期间,“搜狗输入法”通过云控向广大用户下发广告程序,导致电脑托盘闪烁弹窗,用户点击后即显示为淘宝、天猫618的促销页面。并且该弹窗在关闭后,每隔5小时便再次自动开启,严重影响了用户的正常上网及工作。除疯狂弹窗外,该软件还会收集用户浏览器信息,并探查终端安全软件、广告拦截工具的运行状态,以便回传后台对用户进行画像,进行精准投放。
点评:后浪们既没实现车厘子自由,也没实现弹窗自由
电脑 电脑