换ip软件,代理ip软件,更改ip地址-智游代理
首页 IP软件套餐 HTTP代理套餐 API提取 使用帮助 新闻资讯 长效IP 注册 登录 实名验证

在线咨询

800819380 售前客服
在线客服,实时响应

客户经理:
13326404693

473197630 QQ群
473197630

微信客服

您的位置: 首页 > 新闻资讯 > ip代理软件 > 正文

“流星加速器”恶意投毒控制用户电脑 恐用于商业牟利

发布时间:2020年08月17日 来源:智游代理 www.zhiyoudaili.com

根据“火绒威胁情报系统”监测,火绒安全团队发现一款名为“流星加速器”的软件,正通过各大下载站下载器进行静默推广传播,且携带恶意代理模块和后门模块。用户运行该软件后,就会激活这些病毒模块。病毒可以控制用户电脑,执行任意命令。

由于“流星加速器”用户数量较多,致使病毒影响的范围较大,目前已感染上百万用户,且感染量还在以单日超过10万的数量增长,请广大用户小心防范。火绒安全软件最新版可及时拦截、查杀上述病毒模块,且不会损坏软件的正常功能,请用户放心使用。

根据火绒工程师分析,“流星加速器”运行后会释放两个病毒模块,其中一个具备恶意代理功能,可控制用户电脑作为流量跳板;另一个模块具备后门功能,可执行任意远程指令,危害严重。此外,当用户卸载“流星加速器”后,上述病毒模块会依旧驻留用户电脑中,继续作恶。

通过进一步溯源调查,火绒工程师发现“流星加速器”所属公司旗下存在大量与数据爬虫采集、流量代理加速等相关产品。据此,不排除该企业利用上述病毒,控制用户电脑并投入商业使用,从而获得盈利的可能。

附:【分析报告】

一、详细分析

最近我们发现一组具有恶意代理功能(LocalNetwork.exe)及后门功能(SecurityGuard.exe)的程序模块。经溯源发现,这两个恶意模块均由流星加速器安装包所释放、运行,且当流星加速器被卸载之后,上述恶意模块仍然残留在用户电脑中。带有恶意模块的流星加速器安装包是由下载器所静默推广,此次涉及到的下载站有中关村在线(zol.com.cn)等。相关信息如下图所示:

下载器推广截图

1597651567149810.png

软件安装包数字签名信息

恶意模块签名信息

当流星加速器被下载器静默推广安装之后,便会在安装目录释放恶意代理模块LocalNetwork.exe与后门模块SecurityGuard.exe。释放完成后,LXInstall.exe将创建C:Program FilesMicrosoft App文件夹并将LocalNetwork.exe移动到其中,随后启动LocalNetworkFlowService服务。同时LXInstall.exe会将SecurityGuard.exe移动到C:Windows目录下并启动执行。相关动作如下图所示:

执行动作信息

LocalNetwork模块

LocalNetwork.exe会通过接收C&C服务器(58.218.92.196)的代理策略,执行代理逻辑转发服务器下发的数据流量,在未经用户允许的情况下占用用户的网络资源,使用户机器沦为帮助其牟取利益的工具。LocalNetwork.exe作为服务运行之后,首先会收集用户主机系统信息并将其加密发送至C&C服务器(yxjs.diaodu.ssot.net)。随后C&C服务器回传代理通信服务器的地址信息,相关代码如下图所示:

获取主机相关信息

获取到的主机信息

连接C&C服务器

获取到的代理通信服务器地址

当得到代理通信服务器地址之后,LocalNetwork.exe便会与之连接,获取所需的代理策略。之后,LocalNetwork.exe根据下放的代理策略访问目标网页,若访问成功,则返回目标网页相关信息。详细的通信流程,如下图所示:

通讯流程图

收到的代理策略及数据传输内容,如下图所示:

收到的代理策略信息

数据传输图

此外,我们还发现流星加速器主程序(liuxing.exe)会创建线程每隔2秒就会检测LocalNetwork.exe进程是否存在,如果不存在,则会执行其软件安装目录下的LocalNetwork.exe。由于当前版本的流星加速器所释放的LocalNetwork.exe恶意代理模块已经不在其软件安装目录中,上述执行逻辑已经失效,我们会对其主程序模块的更新进行持续追踪。相关逻辑,如下图所示:

相关代码

检测启动LocalNetwork.exe相关代码

SecurityGuard模块

SecurityGuard.exe模块的主要功能就是将自身注册为服务并接收C&C服务器(api.jm.taolop.com)下发的后门命令控制码来执行不同的后门功能,如:更新模块,创建、删除服务,运行远程命令。相关代码如下图所示:

连接C&C服务器并接收后门控制码

执行后门功能

二、溯源分析

此外,我们根据恶意模块的签名信息“江苏灵匠信息科技有限公司”发现其旗下存在大量与数据爬虫采集,流量代理加速等有关产品,相关信息如下图所示:

江苏灵匠信息科技有限公司旗下部分产品

仅以芝麻代理为例,今日活跃的代理IP数量为200万左右与我们在火绒终端威胁情报系统中所监测到的该病毒感染数量较为相近,官网页面如下图所示:

芝麻代理官网

三、附录

病毒hash

转载自:火绒安全


转载注明来自:智游代理IP http://www.zhiyoudaili.com/

相关文章内容简介

1 电商行业离不开代理IP应用

代理lP对电子商务行业的作用?在互联网蓬勃发展的如今,代理lP被应用于很多的领域之中,很多的公司离不了它,很多的客户对它也更加熟练掌握。但说起对代理lP最熟悉的除去爬虫用户便是电子商务行业的工作员了,他们每一天都会在工作中用到代理lP。那么,代理lP对电子商务行业的作用是什么呢?因为对电子商务行业来说,得到广泛的客源是非常关键的,故此很多电商行业的工作员要利用添加国内各地的客户群来扩大客源,确保自己商品的营销渠道。但因为如今市面的社交平台通常对每一天加好友的总数有一定的限制,而且很多还对地域有一定的限制,只可以添加比较有限地域的人,这就对扩大客源造成了影响,不益于电商销售。因而,就要利用更換IP地址来解除限制,不断提高每一天添加人数的上限了,这就要用到代理lP软件了,如今市面的代理lP软件一般而言不是价格昂贵便是质量太差,不能满足很多客户的需求,但智游代理的出现打破了这样的局面,在保证质量优秀的同时还压低了价格,极大丰富了客户的选择。... [阅读全文]

2 如何知晓代理IP所属城市?

拿到一个IP之后,如何确定这个IP是属于哪个城市的呢,方法比较多,这里介绍两个最方便的方法。第一,直接百度搜索这个IP地址,比如IP地址是127.0.0.1,那么你百度搜索127.0.0.1就会出现相关信息;第二,设置好代理IP之后,访问接口https://api.ip.la/en?json,会反回英文的JSON数据,如下:{"ip":"113.194.31.45",//IP地址"location":{"country_code":"CN",//IP所在国编码"country_name":"中国",//IP所在国家名称"province":"江西省",//IP所在省"city":"新余市",//IP所在城市"latitude":"114.6870876422",//IP所在地经度"... [阅读全文]

热门标签

推荐阅读

  1. 09

    2019-08

    有没有实用的代理IP软件

    很多用户在工作中必须用到代理IP,使用者当然想找到经济实惠的代理IP,但市面上有很多,不知道该怎么选择。下面就为大家介绍一下实用的代理IP软件。1.免费代理IP。很多人认为免费代理IP不

  2. 18

    2019-07

    怎么选择合适的换IP软件?

    大数据时代,企业的发展离不开数据的支持,企业通过爬虫采集获取用户、竞争对手等数据信息,对获取的数据进行分析,制定适合自己的营销方案。而数据采集过程中少不了换IP软件的使用,

  3. 12

    2020-02

    换IP软件常见的四种模式

    现如今,很多人由于工作原因需要经常使用换IP软件,但对其原理和模式不是很了解。下面就简单介绍下换IP软件常见的四种模式,希望对大家有所帮助。

  4. 07

    2020-03

    传统代理IP软件有哪些弊端

    在快速发展的今天,很多工具都要跟上发展,才能满足用户的使用需求。代理IP软件相信很多人都要用到,那么,传统代理IP软件有哪些弊端呢?

  5. 31

    2019-08

    什么是在线代理ip网页代理

    当我们需要大量IP进行快节奏完成业绩的时候,很多人都会想到去IP代理服务商那里购买IP代理,所以我相信很多人对于IP代理这个词已经有一定的认识了,那么还有一个词叫做“在线代理ip网页

  6. 14

    2019-06

    IP地址要怎么改

    改IP地址大家都不陌生,IP是在互联网中的唯一识别标识,所以一个电脑只有一个IP。那么,如果这个IP有问题后该怎么办?IP地址要怎么改呢?想换IP就需要找其他的IP来替换自己的IP,可以在网