日前,火绒安全团队发现某商业公司制作的流量劫持病毒"FakeExtent"(产品名为"天馨气象"),正通过"WIN7之家"等下载站中的多款激活工具大范围传播。该病毒入侵电脑后,会释放多个恶意插件,篡改系统配置、劫持流量。 通过"火绒威胁情报系统"监测和评估,已有数十万台电脑被该病毒感染。
目前,国内外安全软件仅对该病毒进行查杀,并不查杀该病毒植入的某些恶意插件,这导致被感染用户在主病毒被杀之后,依然面临被攻击的风险。2015年,360安全团队曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,并利用激活工具传播病毒。
"火绒安全软件"无需升级即可查杀该病毒,建议近期下载过下述软件的用户,尽快使用"火绒安全软件"对电脑进行扫描查杀。
火绒工程师分析发现,病毒作者将病毒"FakeExtent"植入到 "KMSTools"、"暴风激活工具V17.0"等软件激活工具中,并上传到 "WIN7之家"等下载站中,用户一旦下载并运行上述软件,该病毒就会感染电脑,向用户浏览器中安装名为"天馨气象"和"星驰天气助手"病毒插件。并向IE浏览器中添加BHO插件。
上述恶意插件进入用户电脑后,将会劫持浏览器流量、网页广告弹窗以及将下载的安装包替换为病毒作者提供的渠道包,然后挂上和上游公司分成的计费名,以和其分成。
火绒工程师发现BHO插件带有"上海旻嘟网络科技有限公司"签名,截至发稿,除火绒外,仍没有安全厂商对该插件报毒。
根据火绒工程师溯源分析,此次火绒发现的病毒插件与2015年就被曝光过的病毒插件"叮叮天气"公司法人信息基本一致,可以确认为同一个病毒制作团伙所为。
