火绒实验室 PDF转换器投放木马将用户终端变为获利工具科汇科技火绒企业级安全产品分销商-火绒终端安全群晖synology nas 存储备份群晖nas成都总代理

您现在的位置：火绒终端安全群晖synology nas 存储备份群晖nas成都总代理 > 新闻中心 > 火绒实验室 PDF转换器投放木马将用户终端变为获利工具科汇科技火绒企业级安全产品分销商

火绒实验室 PDF转换器投放木马将用户终端变为获利工具科汇科技火绒企业级安全产品分销商

作者：管理员发布于：2021-06-09 09:57:11 文字：【大】【中】【小】

根据“火绒威胁情报系统”监测，火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块，正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下，利用用户电脑访问大量的陌生网址，导致用户电脑CPU占用率变高，变得卡顿。

目前，该恶意软件仅单日侵扰用户量就达数万，请大家小心防范。火绒最新版（个人版、企业版）可及时拦截、查杀上述恶意代理模块，且不影响软件正常功能，用户可放心使用。

火绒工程师分析发现，即使用户卸载“奇客PDF转换器”，其恶意代理模块也不会被随之删除，而是作为系统服务，开机自启，达到永久驻留在用户电脑中的目的。此外，我们还发现了若干版本的“奇客PDF转换器”与其释放的恶意代理模块，但无论是何种版本的恶意模块，其功能代码都极为相似。

通常，黑客可以使用代理模块将用户的终端设置为代理服务器，并通过占用用户终端的网络和计算资源，来进行爬取网站信息、网络攻击等行为。如此一来，即便被入侵的一方发现攻击并进行溯源，也只会看到被设置为代理服务器的用户终端地址，而真正的攻击者便可以借此躲避追查。

值得一说的是，火绒工程师进一步溯源发现，“奇客PDF转换器”安装包及其释放的恶意代理模块所属为同一公司，且该公司旗下网站主要经营流量代理服务。因此，不排除该企业利用上述恶意代理模块控制用户电脑成为代理服务器，并进行售卖盈利的可能。

这也与我们此前发现并分析的“流星加速器”携带恶意代理模块事件近乎一样，由此也可以看出，恶意代理模块正在被广泛的投入商业化使用中，并威胁用户安全。对此，火绒在帮助用户拦截此类威胁的同时，也再次提醒大家小心防范。

附：【分析报告】
一、详细分析
近期，火绒接到许多用户反馈称电脑会莫名卡顿，CPU占用率高，且如下进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。经分析发现，用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。该恶意软件与先前分析过的流星加速器类似（“流星加速器”恶意投毒控制用户电脑恐用于商业牟利），都是通过下载站下载器进行静默传播推广。在该恶意软件安装过程中会释放恶意代理模块到%appdata%\tx目录。即使用户卸载奇客PDF转化器，恶意代理模块也不会随之删除，而是作为系统服务，开机自启，永久的驻留在用户电脑之中。虽然不同版本的奇客PDF转换器释放的恶意代理模块名称不同，但是功能代码极为相似，下文以svchost.exe分析说明。相关运行流程如下图所示：

运行流程图

奇客PDF转化器运行后，会在用户%appdata%目录下创建tx文件夹，将相关代理模块释放于其中。随后运行start.bat脚本，该脚本根据用户电脑的.NET环境来决定运行Start2.0.exe还是Start4.0.exe。Start2.0.exe/Start4.0.exe运行之后会遍历系统服务，如果不存在名为“SDRSVC_93c83”的服务或该服务没有正在运行则启动相应目录下的svchost.exe。相关代码如下图所示：

检测系统.NET环境并运行Start2.0.exe/Start4.0.exe

检测SDRSVC_93c83服务运行状态

svchost.exe运作之后会将自身注册为服务并启动运行，相关代码如下图所示：

svchost.exe注册为系统服务

图片
系统服务运行信息

随后svchost.exe连接hxxp://pr.qikels.com:301/GetIpPort和hxxp://pr.qikels.com:301/GetIpPortzhima获取远程代理服务器IP及端口信息。相关代如下图所示：

图片
获取远程代理服务器信息

成功获取远程代理服务器信息后，svchost.exe便会接收远程代理服务器下放的目标网址数据包并访问，最后将结果数据包进行回传。相关流量数据包如下图所示：

图片
Wireshark抓包情况

svchost.exe还会收集用户电脑环境信息发送至111.229.195.75:8102/insideapi/saveInstallLogV2，相关数据如下图所示：

图片
用户电脑环境信息

同时，我们在svchost.exe里还发现了云控AdWinfrom.exe模块开启的相关代码。AdWinfrom.exe模块目前暂未发现，不排除后续奇客PDF版本转换器将其释放的可能性。相关代码如下图所示：

图片
云控AdWinfrom.exe模块开启

IT解决方案：

移动办公安全解决方案移动应用安全解决方案

在线业务优化解决方案在线业务安全解决方案

企业数据安全解决方案分支组网优化解决方案

业务容灾备份解决方案互联网安全管控解决方案

新型智慧城市解决方案政务数据中心建设方案

政务专网建设解决方案互联网安全优化方案

政务移动安全接入方案

业务全网等级保护三级整改建设案例

业务内网等级保护三级整改建设案例

电子政务专网应用加速及传输优化解决方案

政府信息中心上网行为管理解决方案

企业办公无线解决方案电子商务网站优化解决方案

企业办公桌面云解决方案数字校园解决方案

桌面云解决方案数字图书馆解决方案

业务与支撑系统安全随势而变的ICT

云资源池安全与优化广电网络解决方案

网络安全等级保护（等保2.0）解决方案

等保一体机解决方案云安全解决方案

进程管理

以列表或树型展示系统中全部活跃以及非活跃进程信息，并允许用户对其进行操作（强制结束进程、提取内存字符串等）包括：
进程ID、会话ID、全路径、命令行、当前路径、等基本信息；
进程线程信息；
进程模块信息；
进程打开的句柄列表；
进程相关的网络连接信息；
进程产生的网络流量数据；
以不同颜色区分活跃和非活跃进程；
可以定位进程对应程序文件及查看文件属性；
对活跃进程可以进行结束、挂起、恢复操作；
可以关闭进程打开的句柄；
可以提取进程、模块的内存映像或文件中的全部字符串；
可以搜索系统中全部打开的句柄和加载的模块；

启动项管理

可以扫描系统中的启动项，并可以对扫描到的启动项进行禁用、启动和删除；
支持扫描以下类型启动项：
登录类（Logon）
浏览器类（Explorer）
IE浏览器类（Internet Explorer）
系统服务类（Services）
内核驱动类（Drivers）
解码器类（Codecs）
Winsock提供者类（Winsock Providers）
打印提供者类（Print Monitors）
本地安全认证类（LSA Providers）
网络提供者类（Network Providers）
启动执行类（Boot Execute）
映像劫持类（Image Hijacks）
AppInit类（AppInit）
已知动态库类（KnownDLLs）
Winlogon类（Winlogon）
输入法类（IME）
计划任务类（Scheduled Tasks）

内核诊断信息
内核
内核诊断信息包括以下内核信息：
驱动（设备树）信息（Driver Information）
系统服务表（Service Dispatch Table）
内核通知信息（Kernel Notify）
中断描述符表（Interrupt Table）
高亮提示被修改的内核信息；

钩子扫描
扫描内核态IAT、Inline钩子；
扫描用户态IAT、Inline钩子；
可以对指定进程进行快速扫描；
对扫描到的钩子进行指令分析识别多级跳转类型的钩子；

服务管理
查看操作系统中已注册的服务，并可以对其进行查看文件目录，文件属性，定位注册表，启动停止的控制；

驱动扫描
显示操作系统中已注册的驱动，并可以对其进行查看文件目录，文件属性，定位注册表的操作；
网络监控
显示操作系统中正在进行联网行为的进程，并可以对其进行查看文件，文件属性，结束进程的控制；

文件修改
文件修改诊断工具文件操作
文件修改诊断工具文件操作
查看已识别的可用文件驱动器内文件，并可以高权限对其进行强制修改删除等操作； [4]

注册表编辑
查看操作系统内的注册表文件，并可以高权限对其进行强制修改删除等操作；
注册表修改
支持地址栏对目标键值的快速定位；

服务区域：

四川火绒成都火绒西藏火绒重庆火绒贵州火绒贵阳火绒云南火绒昆明火绒

四川synology: 德阳火绒绵阳火绒，攀枝花火绒，西昌火绒，雅安火绒，内江火绒，资阳火绒，南充火绒，眉山火绒，乐山火绒，自贡火绒泸州火绒广元火绒遂宁火绒宜宾火绒广安火绒达州火绒雅安火绒巴中火绒资阳火绒攀枝花火绒凉山彝族自治州火绒甘孜藏族自治州火绒阿坝藏族羌族自治州火绒

贵州火绒：贵阳火绒、六盘水火绒、遵义火绒、安顺火绒、铜仁火绒、毕节火绒。黔南火绒、黔西南火绒、贵州黔东南火绒

重庆火绒合川火绒南川火绒

潼南火绒铜梁火绒长寿火绒璧山火绒荣昌火绒綦江火绒大足火绒武隆火绒垫江火绒奉节火绒

丰都火绒城口火绒巫溪火绒云阳火绒酉阳火绒巫山火绒梁平火绒彭水火绒秀山火绒石柱火绒开县火绒

昆明火绒、曲靖火绒、玉溪火绒、保山火绒、昭通火绒、丽江火绒、普洱火绒、临沧火绒。

文山壮族苗族自治州（文山火绒）、红河哈尼族彝族自治州（红河火绒）、西双版纳傣族自治州、（西双版纳火绒）楚雄彝族自治州（楚雄火绒）、大理白族自治州（大理火绒）、德宏傣族景颇族自治州（德宏火绒）、怒江傈僳族自治州（怒江火绒）、迪庆藏族自治州（迪庆火绒）

四川成都火绒代理：

火绒成都渠道代理商有哪些；火绒渠道代理商有哪些；火绒nat代理上网；火绒代理商资质查询；火绒总代怎么样；火绒的渠道有哪些；火绒金牌代理；火绒成都金牌经销商；火绒四川金牌经销商；火绒金牌代理商；火绒金牌成都火绒科技有限公司
火绒科技成都分公司火绒成都区主管是谁火绒成都
火绒成都办事处火绒成都网络安全
火绒成都代理商有哪些火绒成都防火墙

火绒防火墙上网行为管理具体版本：

火绒终端安全管理系统1.0

适用于政府、企业、学校、医院等机构用户

火绒安全软件5.0

个人用户免费使用

火绒专用名词：

火绒威胁情报系统，火绒任务处理平台，火绒安全团队， 400-998-3555
邮箱：seclab@huorong.cn，火绒企业版

火绒相关专用名词：

Synares、Ramnit两大家族感染终端，勒索病毒，僵尸网络Emotet，

银行木马，钓鱼邮件，带毒宏文档，恶意代码，Emotet木马,病毒代码分析,

Domain Fronting,溯源分析,CobaltStrike,shellcode代码,企业内部U盘加密，

保护U盘内信息，后门病毒

火绒自身关键词：

火绒安全，火绒，火绒安全软件，火绒官网，火绒杀毒软件怎么样，

火绒企业版怎么收费，火绒企业管理员密码，火绒企业版监控员工电脑，

火绒企业版收费标准，火绒企业版价格，火绒企业版与个人版有何不同，

火绒企业版卸载要密码，

火绒维修，以及更多产品和详情请咨询：

成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商

无论您是解决企业级安全、云计算，还是IT基础架构，都可以使您的IT更简单、更安全、更有价值

成都科汇科技有限公司

地址：成都市人民南路四段1号时代数码大厦18F

电话：400-028-1235

QQ：1325383361

手机：180 8195 0517（微信同号）