三言財經12月6日消息,據火絨安全報告,驅動精靈軟體在卸載時會留下一個名為“kbasesrv”的後門程序,包含廣告模塊。
據悉,該後門程序在用戶電腦中執行軟體推廣、流量劫持、雲控鎖定瀏覽器首頁等惡意行為。此外,“kbasesrv”還可雲控用戶電腦中執行任意文件、拷貝或刪除文件、結束進程、修改注冊表、向指定窗體發送消息等,用戶電腦隨時面臨被遠程執行任意操作的風險。
據調查,“kbasesrv”後門程序投放方式除驅動精靈服務項、特殊版本的金山系安裝包以外,最主要的方式是當驅動精靈被用戶卸載時投放。並且該程序部分雲控指令會主動規避主流安全軟體以及主要省會城市。
此外,“kbasesrv”後門程序與金山毒霸、獵豹瀏覽器、獵豹wifi等金山系軟體組件有重疊關係,如果金山向這些軟體下發雲控命令,它們同樣可以實施“kbasesrv”後門程序執行的惡意行為。基於金山系用戶數量較大,該後門程序影響範圍也較廣。
報告鏈接:
http://m.huorong.cn/info/1575563954398.html
香港九龍灣馬來街興發大廈15樓D室