栏目导航: 首页 > 新闻资讯 > 安全新闻 > 内容

思科发现一千两百万台PC存在后门间谍程序

www.hx99.net    时间: 2016-05-01    阅读: 次     整理: 华西安全网

 安全专家提醒广大PC用户:法国Tuto4PC公司悄悄在PC上绑定广告软件和间谍软件。

u=1673442339,4052431139&fm=21&gp=0.jpg

思科Talos Group的安全研究人员表示:该法国公司的其他一些工具,包括OneSoftPerDay和 System Healer等,都存在恶意行为的木马。

Talos小组估计,约1200万台PC用户已经在引诱下下载了Tuto4PC公司的其中一个恶意软件程序。研究人员说:

“一旦电脑用户安装Tuto4PC的任何一种实用程序,该软件就会运行恶意程序并安装名为“Wizz”的木马程序。”

Talos研究人员在周三的一篇博客文章中写道:

“Wizz有管理权限,不仅能下载和安装其它程序,还能收集个人信息、安装并运行控制方上传的可执行文件等。”

Talos小组高级技术负责人Craig Williams表示,通过对Wizz软件进行初步分析,我们发现,它还能探测沙盒、杀毒软件、安全软件、取证软件和远程访问工具。最令人不安的是,该软件可以通过EULA,在未经授权的情况下秘密在PC上安装恶意软件。

Talos团队写道:

“很明显,该软件应该被归类为后门程序。它至少是一个潜在有害程序(PUP),还有就是,它完全满足甚至超越了‘后门程序’的定义。”

Talos说:

“Tuto4PC的过往历史非常精彩,它曾与Conseil d’Etat(法国政府国会议员)发生冲突。在2012年、2013年以及2015年的多次场合,Tuto4PC曾面临法国监管机构对其在用户电脑中不知不觉的安装软件的舆论抨击。”

Talos小组技术负责人Warren Mercer说:

“在过去,就在用户电脑中安装广告软件和间谍软件的问题,Tuto4PC公司已经处于法国监管机构的密切关注中。但是,貌似它并没有从法国当局的言论中清醒过来,还进一步试图使其木马程序可以躲开安全软件的检测。Tuto4PC和Wizz一起作为中间媒介,在未经用户允许的情况下,肆意传播广告软件、间谍软件、膨胀软件,感染数以百万计的的PC机。”

Talos研究人员说,他们可以通过窃听控制端和客户端软件之间的通信,以获得对于Tuto4PC和Wizz组件之间关系的独特见解。那是因为,Tuto4PC使用了一个从微软网站(MSDN)上复制的加密变量来实现它的SSL加密

Talos写道:

“有趣的是,虽然在沙盒对抗,分析技术对抗等方面花了这么多时间,但是开发者却并没有在加密技术方面投入同样的时间和精力,而是简单地从一个MSDN博客中复制和粘贴。”

研究人员发现了Tuto4PC的广告软件/间谍软件使用的55个域名,每一个都为Tuto4PC或其子公司所有。Talos说:

“这些域名被用于分发Wizz.exe二进制文件。每一个域名都有’PC Clean’, ‘Free Game’以及 ‘Offer’’等形式各异的名字,以证实其合法性,并作为引诱用户的诱饵,诱导用户完成下载任务。”

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭