AVG截獲廣告刷錢器 新型惡意軟件預警

    泡泡網安全相關頻道11月29日 近日AVG中國病毒實驗室截獲一個名為“百度文庫免積分4.0”的惡意軟件，將會使用戶在不知不覺中被利用，從而成為刷廣告流量的工具。

    如下圖所示，該文件為一個自解壓縮包，里面包含幾個文件：

    可以看到解壓后運行壓縮包內部的“百度文庫免積分.exe”。該文件是一個正常的小工具。

    運行截圖如下：

    真正的惡意行為出現在用戶第二次運行這個工具的時候，解壓出的update.exe會自動執行。update.exe同樣是一個自解壓包。

    可以看到update.exe會釋放出上面的文件并且自動執行webLoadpid.exe。webLoadpid.exe是一個用.net編寫的程序。

    從網上獲取兩個數據，分別寫入config.txt, config2.txt中，然后啟動 update.exe /codebase msreg.dll.Update.exe 會加載msreg.dll，運行Register方法，注冊msreg.dll為瀏覽器擴展。

    而msreg.dll則是一個廣告點擊器，每當用戶瀏覽淘寶，天貓, 京東，凡客等網站時，就會轉向指定的推廣鏈接，讓用戶的機器為自己刷廣告流量。

    值得一提的是，該惡意程序第一次運行并不會執行update.exe，因此第一次執行該程序，惡意行為不會觸發，這也為木馬程序提供了一定的隱蔽性。AVG已將此程序檢測為Clicker.BAVO

    AVG殺毒永久免費版2013具有多層保護技術，能夠阻止不安全的鏈接和文件，此外，AVG殺毒的免費版本還能夠預防數據丟失，并讓您的電腦運行更快速。目前可在AVG官方網站下載。

    此次AVG的病毒截獲提醒廣大用戶，一些免費軟件暗藏廣告刷錢器，請謹慎運行陌生工具。■