近日，火絨工程師發現木馬程序“commander”借助“遊民星空”、“遊俠網”下載站，再次大範圍傳播。用戶通過上述下載站下載運行高速下載器後，即會感染該木馬程序。目前，火絨最新版已對該木馬程序和其推送的惡意模塊進行攔截查殺。

【快訊】

近日，火絨工程師發現木馬程序“commander”借助“遊民星空”、“遊俠網”下載站，再次大範圍傳播。用戶通過上述下載站下載運行高速下載器後，即會感染該木馬程序。目前，火絨最新版已對該木馬程序和其推送的惡意模塊進行攔截查殺。

火絨工程師分析發現，用戶運行下載器後，會被誘導靜默安裝“風雲PDF閱讀器”、“高效截圖工具”等流氓軟件，並在開始菜單、桌面等位置均沒有創建相關的啟動快捷方式，讓用戶無法發現；同時，這些軟件還會攜帶木馬程序“commander”，可通過雲控服務器下發彈窗廣告等惡意模塊。

值得注意的是，該木馬程序早在今年三月份，就因通過“多特”下載站下載器進行傳播被火絨攔截披露過（詳見報告《無節制流氓推廣2345旗下下載站正在傳播木馬程序》 ）。

一直以來，通過下載站傳播的病毒屢屢不斷，火絨就下載站的安全問題也進行過多次的報導、披露，甚至推出攔截下載站下載器的功能，幫助用戶避免風險。在此，火絨工程師提醒廣大用戶，一定要通過官網等正規渠道下載軟件，謹慎使用下載站等第三方下載器下載軟件。

附：【分析報告】

一、 詳細分析

近期，火絨發現commander惡意程序再次大面積傳播，本次我們發現會投放commander惡意程序的流氓軟件包括：高效截圖軟件和風雲PDF閱讀器。與此前我們揭露的流氓軟件相同，上述兩款軟件被靜默安裝後，在開始菜單、桌面等位置均沒有創建相關的啟動快捷方式，導致用戶難以發現該軟件的存在。經過溯源，我們發現上述流氓軟件會藉助遊民星空（hxxp://down.gamersky.com ）、遊俠網下載站（hxxp://down.ali213.net）進行推廣。惡意行為傳播與執行流程，如下圖所示：

流程圖

更有意思的是，遊民星空與遊俠網下載站所使用的下載器文件hash值完全相同。下載器文件信息，如下圖所示：

下載器文件信息

下載器界面

下載器界面

如上圖，下載器界面會誘導用戶點擊“推薦安裝”按鈕，且未設有用於取消軟件推廣的勾選項。在點擊“推薦安裝”按鈕後，除上圖已給出的軟件外，還會靜默推廣安裝更多流氓軟件，如：風雲PDF閱讀器、高效截圖軟件等。下載器部分推廣配置，如下圖所示：

推廣軟件的部分配置信息

本次commander惡意程序主要通過風雲PDF閱讀器和高效截圖軟件安裝包進行投放，並且在安裝上述流氓軟件後，在開始菜單、桌面等位置均未創建相關的啟動快捷方式，導致用戶難以發現該軟件的存在。流氓軟件文件信息，如下圖所示：

高效截圖軟件安裝包文件信息

風雲PDF閱讀器安裝包文件信息

被投放的commander惡意程序，與此前火絨發布報告中所描述的流氓推廣功能基本相同，都會下發執行廣告彈窗模塊，並且可以對commander惡意程序進行實時更新。惡意云控配置，如下圖所示：

廣告彈窗推廣策略

以風雲PDF進行舉例，與commander模塊數據對比，如下圖所示：

同源模塊數據

風雲PDF和高效截圖軟件下發的廣告彈窗內容（易引起不適的廣告內容已過濾），如下圖所示：

廣告彈窗

廣告彈窗

二、 附錄

病毒hash