“看美女”等軟件暗藏后門瘋狂扒取阿里、微信注冊企業(yè)信息

本文作者：郭佳

2017-11-14 17:47

導(dǎo)語：病毒會將被感染電腦當(dāng)作“肉雞”，用來扒取阿里巴巴、微信等平臺上的企業(yè)相關(guān)信息，同時在搜索引擎上刷排名。

11月14日，雷鋒網(wǎng)從火絨安全團隊獲悉，一款名為“258集團”旗下的多款軟件攜帶后門病毒“Backdoor/Jspider”。該病毒會將被感染電腦當(dāng)作“肉雞”，用來扒取阿里巴巴、微信等平臺上的企業(yè)相關(guān)信息，同時在搜索引擎上刷排名。

據(jù)分析，后門病毒“Backdoor/Jspider”通過“榴蓮搶票王”、“看美女”、“258安全衛(wèi)士”等258集團旗下多款軟件進行傳播，用戶電腦一旦安裝上述軟件，即會被病毒感染，即使卸載這些軟件，病毒依然留在電腦中作惡。

用戶電腦淪為“肉雞”后，會接收遠程指令，去訪問阿里巴巴（www.1688.com）、清博大數(shù)據(jù)（www.gsdata.cn）和各大搜索引擎（百度、360、搜狗和中搜），不光扒取阿里巴巴的企業(yè)注冊信息和交易內(nèi)容（如貿(mào)易共需求信息等），還扒取微信公眾號里的各個企業(yè)信息，并在搜索引擎上為一些企業(yè)和產(chǎn)品刷排名。

上述操控“肉雞”的種種行為，會大量占用被感染電腦的CPU資源，產(chǎn)生電腦變慢、發(fā)熱等現(xiàn)象。

安全人員溯源后發(fā)現(xiàn)，此病毒早在2014年便已出現(xiàn)。該病毒制作者極為謹(jǐn)慎，當(dāng)檢測到電腦中存在“360安全衛(wèi)士”和“騰訊電腦管家”時，該病毒將不會下載安裝。

樣本分析

多款安裝包簽名信息為“廈門書生天下軟件開發(fā)有限公司”的軟件會在用戶不知情的情況下，下載執(zhí)行遠程服務(wù)器請求到的二進制文件及一組JavaScript腳本，該組程序用于爬取企業(yè)信息及給定的關(guān)鍵字相關(guān)數(shù)據(jù)（爬取對象包括阿里巴巴1688.com、清博大數(shù)據(jù)gsdata.cn、百度搜索、360搜索、搜狗搜索和中國搜索）。

不僅如此，在卸載軟件后，該組程序依然會常駐于用戶計算機中，消耗CPU計算能力，與利用用戶電腦挖取比特幣的后門病毒本質(zhì)相同。當(dāng)同時執(zhí)行的計算任務(wù)較多時，甚至?xí)绊懹脩魧﹄娔X的正常使用。因此，該組程序被定性為后門病毒。以軟件“看美女”為例，如下圖所示：