基本介紹
- 中文名:晨燕工具箱
- 性質:惡意程式軟體
- 發現單位:騰訊安全實驗室
- 發現時間:2014年3月23日
背景,操作步驟,傳播方式,病毒防治方案,
背景
根據用戶的使用反饋,電腦被莫名其妙的安裝了一大堆不明不白的軟體,打開瀏覽器網購時候,網站會跳轉到一個推廣連結。
技術人員跟進後發現,這些用戶機器均被安裝了一款名為“晨燕工具箱”的軟體。該軟體會釋放一些惡意程式並通過SPI劫持的方式將這些惡意程式注入到系統進程當中,然後在用戶不知情的情況靜默下載更新一些不知來歷的檔案,並會對京東、淘寶等主流購物網站進行劫持。當用戶訪問相應購物網站時,瀏覽器就會跳轉到指定的推廣連結。
操作步驟
1、在C:\ProgramFiles\目錄下多了一個名為“晨燕工具箱”的目錄,點擊該目錄下的“uninstall.exe”卻無法卸載程式
2、在“C:\DocumentsandSettings\AllUsers\”目錄下會釋放兩個隱藏的資料夾“dawnswift”和“dawnswift_loader”,其中“dawnswift_loader”裡邊釋放了一堆隱藏的惡意檔案
3、“dawnswift_loader”目錄下的“udt*.exe”檔案會下載更新一些莫名其妙的檔案到被感染的電腦,並會下載一個名為“rdt*.dll”的檔案
4、“dawnswift_loader”目錄下的“ds.dll”檔案會嘗試查找檔案“rdt*.dll”,並通過SPI支持將其注入到系統進程當中,對京東、淘寶等購物網站進行劫持,並上報用戶的敏感信息。
傳播方式
1、假的影視網站,色情網站,通常會提示用戶會如需觀看,需要下載某某播放器,其播放器往往是病毒的載體。
2、假的下載站,不小心點擊了假的下載按鈕,下載回來一個病毒。
3、網路水客通過論壇、部落格、及時通訊軟體等交流平台以問答的方式,以病毒的下載地址或者網路資源冒充用戶迫切需要的軟體程式下載地址或者網路資源,誘騙用戶下載運行。
4、通過來歷不明的系統盤裝系統,導致病毒被預裝到電腦中。
病毒防治方案
1、要養成在正規網站觀看視頻、下載軟體的習慣。
2、不要輕易點擊論壇、即時通信軟體當中傳播的連結。
3、不要在非正規渠道購買電腦系統,以防受電腦到病毒木馬的入侵。
4、要及時下載安全管理軟體,對惡意程式進行有效的攔截和防護。在上網時保持電腦管家等安全軟體的正常開啟,完全能夠防禦此類惡意程式的騷擾。