最近我朋友小王想装远程控制软件ToDesk,结果一通操作下来,电脑突然冒出来金山毒霸、360画报这些软件。卸载完重启又被自动装回来,系统还经常卡顿。这事听起来像恐怖片,但确实发生在不少人身上。安全软件火绒说他们抓到一个病毒样本,专门利用软件安装包偷偷搞小动作。
这个病毒玩起套路花样多得很。它先把自己伪装成合法软件,混进正规安装包里。用户一安装,就偷偷收集你的硬件信息、网络数据,生成一个唯一身份码。接着通过这些信息,病毒能从网上下载更多恶意程序,像是藏在暗网里的武器库。这些程序能偷偷改你的注册表,开后台计划任务,让病毒自己活在电脑里。最气人的是病毒还会装作图片文件,躲过杀毒软件扫描,甚至直接往系统底层钻,连驱动程序都被动了手脚。
比如有个叫soft_libexpat.dll的坏模块,它像间谍一样潜伏在软件里。用户运行安装包时,它就偷偷启动,先从服务器拿指令,再执行下一步动作。拿到指令后WhatsApp网页版,病毒开始疯狂下载各种垃圾程序。它会在桌面上放虚假淘宝快捷方式,搞个不停闪烁的图标骗人点击。点击后就会跳转到钓鱼网站,或者直接安装360画报这种根本不需要的软件。
更隐蔽的是病毒会偷偷打开浏览器插件,或者往WPS里塞代码,让人完全察觉不到。这些程序能偷偷刷流量、偷数据,甚至控制整个电脑。有一次我看见朋友的电脑突然出现很多陌生进程,杀掉一个又弹出另一个,跟打地鼠似的。后来才知道这是病毒在后台开了多个线程,同时进行多种恶意行为。
最可怕的是这个病毒已经形成完整的产业链。上海一家叫载盟的信息公司控制着几个域名,每天发出十几万条恶意指令。像360安全浏览器的推广平台也被牵连进去,成了病毒传播的温床。就连超星学习通、QQ音乐这些常用软件的安装包都被动了手脚。据火绒监测,每天超过一万个设备中招,用户根本不知道自己的电脑早变成别人的赚钱工具。
他们具体怎么赚钱呢?就是通过强制安装软件拿分成。比如装一个金山毒霸,推广方能收钱;偷偷刷网页广告也能赚钱。用户电脑被折腾得卡成龟速,他们倒坐在后面数钱。更过分的是这些公司还用了360的签名证书WhatsApp网页版,让病毒穿上正经马甲,骗过安全检测。你从360官网下载的所谓安全软件,说不定就是个病毒载体。
火绒的工程师说这个病毒特别狡猾。它会根据日期时间变换行为,今天让你电脑弹广告,明天偷偷上传文件,后天又安装新垃圾软件。而且病毒模块之间互相配合,像接力赛似的传递恶意程序。最底层的驱动程序能直接控制系统进程,连杀毒软件都很难清理干净。
现在火绒已经能识别并拦截这个病毒,但每天还是有新变种出现。他们发现除了之前提到的那些软件,连拼多多商家后台、哔哩哔哩这些app的安装包也被动过手脚。这些公司表面做着正规生意WhatsApp网页版,背后却和黑产勾结,利用用户不知情的情况下赚黑心钱。
用户要怎么防呢?首先装软件一定去官网,别信第三方下载站。安装时留意有没有勾选额外选项,尽量保持默认设置。装完软件立刻全盘扫描,发现可疑进程马上杀掉。最重要的是别随便点桌面突然冒出的快捷方式,那些很可能藏着木马。虽然现在杀毒软件能解决大部分问题,但黑产更新速度很快,普通用户只能靠小心谨慎。
这事让我想到,现在随便装个软件都像在拆炸弹。表面上用电脑是为了方便,实际上处处都是陷阱。那些躲在屏幕后的黑产团伙,就等着用户一不小心掉进坑里。科技本该让人生活更好,但有些人却利用技术干见不得光的事。看来以后用电脑得更仔细了,毕竟谁也不想自己的设备成了别人的赚钱工具。
