警惕:恶意推广程序附身千千静听安装程序

很多网友经常会从网上下载和安装一些常用软件,如音频播放器、视频播放器、图片查看工具等等。下载这些软件时,有些网友会在搜索引擎中随便搜索一下软件名称,在搜索结果中打开任意一个网站就开始下载,殊不知这样做存在一定的风险,因为这样下载的软件中可能捆绑恶意程序。

最近一种名为“流氓推广器”的木马程序(Trojan-Dropper.Win32.StartPage.css)被截获。该木马会捆绑于“千千静听”安装程序中,并且使用千千静听的图标及版本信息。一旦运行,会在前台运行正常的千千静听程序并创建正常的千千静听程序的快捷方式,但同时会在后台添加恶意程序once.exe到启动项内。并替换世界之窗浏览器的配置文件,将首页设置成www.23**.com,将默认搜索页面指向恶意推广页面。系统重启后会自动执行once.exe,修改系统默认首页、默认搜索。之后,还会将自身删除,消除感染痕迹。

提醒广大网友,下载软件时一定要去官方网站,避免下载的软件中捆绑恶意程序。

资料来源:卡巴斯基实验室