|
驅(qū)動(dòng)精靈是國內(nèi)比較知名的驅(qū)動(dòng)程序安裝軟件,不過在多年前被某資本收購后也開始越來越流氓不斷地侵?jǐn)_用戶�����。 例如該軟件會(huì)利用各種方式向用戶捆綁安裝金山毒霸和獵豹瀏覽器以及毒霸網(wǎng)址導(dǎo)航等獵豹移動(dòng)系列的軟件服務(wù)���。 然而比捆綁更可惡的是驅(qū)動(dòng)精靈竟然還會(huì)向用戶投放后門病毒�����,即便在用戶卸載驅(qū)動(dòng)精靈后也可以繼續(xù)劫持用戶����。 注:驅(qū)動(dòng)精靈系列現(xiàn)在就屬于獵豹移動(dòng),金山軟件此前已更名為獵豹移動(dòng)����、獵豹移動(dòng)為紐約證券交易所上市公司。 
云控示意圖 驅(qū)動(dòng)精靈投放后門病毒被火絨查殺: 據(jù)火絨安全實(shí)驗(yàn)室消息,上月火絨安全對金山系或獵豹移動(dòng)系的部分軟件冒充其他安全軟件彈廣告問題進(jìn)行查殺���。 但火絨工程師接用戶反饋稱在卸載金山毒霸和驅(qū)動(dòng)精靈等軟件后��,電腦依然會(huì)不斷地彈出各種廣告或被火絨報(bào)毒�����。 為此火絨工程師遠(yuǎn)程幫助用戶進(jìn)行排查后發(fā)現(xiàn)�����,驅(qū)動(dòng)精靈竟然在用戶卸載時(shí)故意留下后門病毒以便繼續(xù)操縱用戶。 而被火絨報(bào)毒的正是驅(qū)動(dòng)精靈留下的這個(gè)后門病毒�����,驅(qū)動(dòng)精靈則通過這個(gè)后門病毒可以持續(xù)性對用戶進(jìn)行劫持等����。 
檢測火絨或其他安全軟件進(jìn)行規(guī)避 安裝驅(qū)動(dòng)精靈后你的電腦就不是你的了: 火絨工程師對驅(qū)動(dòng)精靈投放的這個(gè)后門病毒仔細(xì)分析后發(fā)現(xiàn)��,該后門病毒功能極其豐富可以完全掌控用戶的電腦�。 常規(guī)功能包括在用戶卸載驅(qū)動(dòng)精靈后依然可以執(zhí)行軟件推廣、彈窗廣告��、流量劫持����、云控鎖定瀏覽器首頁等行為。 更可怕的是驅(qū)動(dòng)精靈還可以通過云端控制服務(wù)器下發(fā)任意指令���,例如執(zhí)行任意文件����、復(fù)制或刪除文件���、結(jié)束進(jìn)程�。 甚至可以用來修改系統(tǒng)注冊表數(shù)據(jù)或向指定窗口發(fā)送消息等��,這意味著用戶電腦隨時(shí)面臨被遠(yuǎn)程操作的安全風(fēng)險(xiǎn)。 顯然用戶安裝驅(qū)動(dòng)精靈甚至卸載驅(qū)動(dòng)精靈后電腦都是用戶的了,驅(qū)動(dòng)精靈可以隨時(shí)通過控制服務(wù)器執(zhí)行任意操作��。 
劫持360/搜狗/QQ等多個(gè)瀏覽器主頁 故意規(guī)避火絨等安全軟件和主要城市: 驅(qū)動(dòng)精靈投放的這個(gè)后門病毒還會(huì)自動(dòng)檢測用戶電腦環(huán)境和地理位置��,如果檢測到已經(jīng)安裝安全軟件則自動(dòng)規(guī)避�。 同時(shí)如果用戶所在城市為主要城市例如北京����、上海、深圳和廣州等也會(huì)開啟規(guī)避機(jī)制避免被用戶發(fā)現(xiàn)后進(jìn)行投訴�����。 顯然這個(gè)后門程序是驅(qū)動(dòng)精靈進(jìn)行定制開發(fā)的用于執(zhí)行惡意目的的����,而不是因?yàn)槟承┦д`而向用戶投放后門病毒��。 但在某些電腦上驅(qū)動(dòng)精靈的惡意行為倒是沒有節(jié)制�,如果用戶安裝的是金山毒霸那驅(qū)動(dòng)精靈就不會(huì)進(jìn)行任何規(guī)避。 
將部分主要城市排除劫持 金山系或獵豹移動(dòng)系的無底線行為: 說起驅(qū)動(dòng)精靈不得不提到金山毒霸或者獵豹移動(dòng),如本文開頭所述驅(qū)動(dòng)精靈現(xiàn)在與金山毒霸系列基本算是一家人���。 而驅(qū)動(dòng)精靈投放的這個(gè)后門病毒也真是金山毒霸的數(shù)字簽名����,同理金山毒霸和獵豹移動(dòng)軟件也會(huì)投放該后門病毒。 包括但不限于金山毒霸�、獵豹瀏覽器、獵豹WiFi等眾多獵豹移動(dòng)系軟件�,這些軟件會(huì)共同向用戶投放該后門病毒�。 火絨工程師還發(fā)現(xiàn)驅(qū)動(dòng)精靈投放的這個(gè)后門程序,同樣接收金山毒霸系列軟件下發(fā)指令對用戶進(jìn)行各種劫持操作��。 金山毒霸以其老牌安全軟件的聲譽(yù)獲得不少用戶的安裝和使用���,然而背地里金山毒霸就干著這些偷雞摸狗的事兒�����。 金山或獵豹移動(dòng)系已被多次發(fā)現(xiàn)劫持用戶: 早在數(shù)年前火絨安全就曝光過金山或獵豹移動(dòng)的相關(guān)劫持行為��,然而獵豹移動(dòng)對此不為所動(dòng)繼續(xù)對用戶進(jìn)行劫持�。 例如在上月金山毒霸冒充360、卡巴斯基和小紅傘等向用戶瘋狂彈窗雙11廣告��,即便被報(bào)道金山也沒有任何回應(yīng)��。 火絨安全實(shí)驗(yàn)室表示該公司并非有意針對金山毒霸或是獵豹移動(dòng)系列��,而是這些行為確實(shí)已經(jīng)觸及到原則和底線。 如果不對這種行為加以制止的話受到損害的將是廣大用戶權(quán)益�����,為此上述軟件繼續(xù)作惡則火絨還會(huì)繼續(xù)進(jìn)行查殺�。 附:若用戶安裝或卸載過驅(qū)動(dòng)精靈或金山毒霸其他軟件,請點(diǎn)擊這里下載火絨專殺工具清除本文提到的后門病毒:http://down4./hrkill_1.0.0.31.exe
|
