【IT168 资讯 】近日,腾讯电脑管家安全中心接到许多用户反馈,在访问京东、淘宝等购物网站时,浏览器会莫名其妙跳转到一个推广链接,并且发现电脑中出现大量不明软件。腾讯电脑管家就此进行了专项分析,发现这些用户的机器均被安装了一款名为“晨燕工具箱”的软件。
据悉,该软件会释放一些恶意程序并通过SPI劫持的方式将这些恶意程序注入到系统进程当中,然后在用户不知情的情况静默下载更新一些来历不明的文件,并对主流购物网站进行劫持。目前腾讯电脑管家已对“晨燕工具箱”的恶意软件进行拦截查杀。
(“晨燕工具箱”运行逻辑)
据电脑管家安全专家介绍,该恶意文件驻扎在C盘Program Files目录下且无法卸载,驻扎后,通过“C:\Documents and Settings\All Users"路径释放两个隐藏的文件夹“dawnswift” 和“dawnswift_loader”,感染用户电脑中的恶意文件即是“dawnswift_loader”释放出来的。同时,“dawnswift_loader”目录下的“ds.dll”文件会尝试查找文件“rdt*.dll”,并通过SPI支持将其注入到系统进程当中,从而对京东、淘宝等主流购物网站进行劫持,并上报用户敏感信息。
(腾讯电脑管家对“晨燕工具箱”进行拦截查杀)
通过对传播方式的跟踪,发现该恶意软件的感染途径主要有四种:假的色情影视播放器,虚假下载网站,论坛博客等互动交流平台上的虚假URL,以及来历不明的盘装系统。
电脑管家安全专家提醒广大网民,要养成在正规网站观看视频、下载软件的习惯,不要轻易点击论坛、即时通信软件当中传播的链接,不要在非正规渠道购买电脑系统,以防电脑受到病毒木马的入侵。此外,要及时下载安全管理软件对恶意程序进行有效的拦截和防护,在上网时保持电脑管家等安全软件的正常开启,完全能够防御此类恶意程序的骚扰。