无底线流氓！2345旗下多特下载站正在传播木马程序

太长不看版

近日，国内口碑一直很好的安全软件火绒安全工程师发现，2345旗下的软件下载站“多特下载站”的高速下载器正在实施传播木马程序的恶意行为。用户下载运行该下载器后，会立即被静默植入一款名为“commander”的木马程序，该木马程序会在电脑后台运行，并根据云控配置推送弹窗广告和流氓软件。即使用户关闭下载器，“commander”仍然会一直驻留用户系统。同时，该下载器还会释放病毒劫持用户浏览器首页，用以推广广告程序。

如果你中了这个招，那么你电脑的注册表会被修改，流氓远程分析你的使用习惯并给你桌面弹出广告，电脑上的所有浏览器，不管是自带的IE、EDGE，国产的360、qq、还是google chrome、火狐、傲游，主页都会被所定成2345导航，你去修改主页毫无用处，因为他们是改了你系统的注册表，你的电脑还会在你完全不知情的情况下，安装上各种软件游戏，到这个时候，你的电脑就会彻彻底底的变成2345的广告机，除非你格式化整个硬盘，重装系统，否则你这一辈子都别想逃过2345的控制。

下面这些浏览器都会中招！

如果你已经中招，那你的浏览器主页是这样的：

你的电脑桌面很可能经常是这样的：

如果遇到双十一六一八等购物狂欢节，很有可能是这样的：

你的屏幕右下角可能会一刻不停的闪烁，甚至还有提示音。总之，一旦沾染上，你就别想安宁！

目前，火绒安全软件最新版已对该下载器与“commander”软件相关恶意与流氓模块进行拦截查杀。

详细分析版，不感兴趣或看不懂的可以直接去评论区了~

火绒工程师对木马程序 “commander”进行分析后发现，该程序会在用户不知情下被静默安装至电脑中，并在开始菜单、桌面等位置均没有创建相关的启动快捷方式，导致用户难以发现该软件的存在；同时，其广告推广模块会在后台偷偷运行，不停的进行广告推送、静默推广其它软件，严重影响了用户正常使用电脑。为了躲避安全软件的查杀，该木马程序还会主动检测用户电脑中是否安装安全软件和工具。

截至目前，被“commander”木马程序静默推广的软件共有9款，包括趣压、拷贝兔、小白看图等，且这些被静默安装的软件与“commander”木马程序系同源流氓软件。

事实上，木马程序、流氓软件与类似“多特”这样的下载站之间早已形成了一条完整的黑色产业链：下载站通过木马程序、病毒，来静默推广流氓软件，以此获取软件厂商提供的利益；流氓软件被传播到用户电脑后，也会实施捆绑、弹窗等恶意推广其它软件的行为，从中获取利润。一旦用户下载此类下载器或流氓软件，就会陷入“疯狂”的被静默安装与推广的陷阱中。

在此，暗嘿提醒大家，会通过所谓的“高速下载器”传播病毒木马的绝不止多特一家，国内的下载站大部分都在作恶，只是有的仅仅是在你不知情的情况下安装其他游戏或软件，有的则像2345这样作恶多端。如果你要给电脑安装软件，一定要通过官网等正规渠道下载软件，谨慎使用下载站等第三方下载器下载软件。

附：【分析报告】

一、详细分析

一直以来，下载站都是众多流氓软件的主要传播渠道之一。本次火绒发现的木马程序commander，就是通过多特下载站的下载器进行静默推广。只要用户在未安装安全软件（如火绒、360、金山等）的环境中运行多特下载器，就会静默下载安装commander木马程序。除此之外，多特下载站下载器还会下载释放锁首木马和广告推广程序，并且检测安全软件躲避安全查杀。综上所述恶意行为，多特下载站下载器已经满足了火绒对病毒的定义。

多特下载站页面，如下图所示：

多特下载站页面，只要点击上图中的“高速下载”，你就等着中毒吧！

是用代码规避杀软

多特下载器运行之后会根据它的云端配置规避杀软并进行软件静默推广，规避杀软程序的相关配置信息如下图所示：

下图中红框标注部分为木马程序commander相关推广信息。静默推广软件的相关配置信息，如下图所示：

静默推广软件的相关代码，如下图所示：

流氓程序DTPageSet.exe

除了静默推广软件之外，多特下载器还会根据其配置下载具有浏览器锁首及添加浏览器书签功能的流氓程序DTPageSet.exe，此程序虽然能正常下载到用户电脑之中，但是后续的代码执行功能并未放开，不排除将来运行此程序的可能性。下载DTPageSet.exe相关配置信息如下图所示：

下载运行DTPageSet.exe相关代码如下图所示：

会受影响的浏览器，市场份额较高的一个都不落

DTPageSet.exe主要通过修改注册表，修改浏览器配置文件，修改浏览器快捷方式参数的方式来锁定浏览器首页。

以QQ浏览器为例，DTPageSet.exe修改注册表来锁定浏览器主页的相关代码和现象如下图所示：

修改后的注册表及浏览器首页被锁定

以搜狗浏览器为例，DTPageSet.exe修改浏览器配置文件来锁定浏览器主页的相关代码和现象如下图所示：

以360安全浏览器为例，DTPageSet.exe修改浏览器快捷方式参数来锁定浏览器主页的相关代码和现象如下图所示：

修改后的浏览器快捷方式参数及浏览器首页被锁定

DTPageSet.exe除了上述锁定浏览器首页行为外，还会将云端下放的书签配置添加到浏览器之中，添加浏览器书签相关配置信息如下图所示：

你可别小看这几行代码，一旦中了他的斜照，你以后的每一次百度搜索，每一次淘宝购物，每一次点击导航网站上的链接，都是在为2345赚钱！

下面以360安全浏览器为例，添加浏览器书签相关代码及现象如下图所示：

浏览器中被插入的书签

commander分析

如前文所述，多特下载站高速下载器会静默推广木马程序commander。commander软件被下载器静默推广安装到%APPDATA%\commander文件夹下，中间过程无任何提示。且在开始菜单、桌面和任务栏上都没有软件功能的入口，用户根本无法察觉到软件的安装。该软件在安装后会下载执行多个广告弹窗模块进行广告推广，并且会下载执行静默推广模块，推广软件。

Commander在安装后，会将Services.exe模块注册为服务，开机自启。Services模块会定时（每30分钟一次）启动commandtools.exe。commandtools.exe模块会从服务器地址（hxxp://i.zzb6.cn/api/data/get）下载到加密的配置文件config.dll，并根据配置下载执行广告弹窗和软件推广模块。配置文件，如下图所示：

commandtools.exe模块会对配置文件中block字段中的所有弹窗和推广模块进行遍历下载执行。每个模块在下载之前，可以根据配置文件设置一些下载条件，比如检测环境，过滤进程等。下载执行代码，如下图所示：

广告弹窗

在目前的配置中，下发的广告弹窗程序有多个，但只有两种，从服务器下载的路径上看，应该为同一程序的不同版本，差别不大。该广告弹窗模块会频繁弹出，且窗口多样。广告弹窗现象，如下图所示：

广告弹窗图

病毒也智能，遇到北上广深用户自动中断，专坑城乡高龄用户

appupdui.exe在运行时会根据配置通过枚举进程名的方式对系统中的软件环境进行检测，除此之外还会检测当前IP所在城市，被检测的城市包括：北京、上海、广州、珠海、杭州、西安、马鞍山、苏州、武汉、天津、合肥。被检测的进程，如下图所示：

检测的环境

检测城市和软件环境相关代码，如下图所示：

通过遍历进程的方式检测软件环境，相关代码如下图所示：

appupdui.exe模块会根据config.dll配置中的ads软件ID列表进行静默下载安装流氓软件。ads列表中的软件ID号与config.dll中的[Exe]部分的推广软件相关配置一一对应，如Exe_783与软件助手相关配置对应。相关配置，如下图所示：

根据配置文件中的下载地址静默下载执行安装包程序，相关代码如下图所示：

经过分析我们发现，被commander静默推广的软件（小白看图、趣压、拷贝兔等），与commander系为同一作者编写，且安装后都带有与commandtools.exe相同的恶意功能模块。在这些被推广的软件config.dll配置中，暂未发现下载appupdui.exe的相关配置，但不排除将来下发其他恶意功能模块的可能性。相关代码同源性对比图，如下图所示：