某商業(yè)軟件潛伏后門病毒：瘋狂扒取阿里、微信企業(yè)信息

近日，火絨安適團(tuán)隊(duì)發(fā)現(xiàn)某商業(yè)企業(yè)旗下的多款軟件攜帶后門病毒“Backdoor/Jspider”，會(huì)將被感染電腦當(dāng)作“肉雞”，用來扒取阿里巴巴、微信等平臺(tái)上的企業(yè)相關(guān)信息，同時(shí)在搜索引擎上刷排名。

據(jù)分析，該病毒通過“榴蓮搶票王”、“看美女”、“ 258 安適衛(wèi)士”等該企業(yè)旗下的多款軟件進(jìn)行傳播，用戶電腦安置后立即就會(huì)被病毒感染，即使卸載軟件，病毒依然會(huì)留在電腦中作惡。

這些安置包的簽名信息中可以看到“廈門書生天下軟件開發(fā)有限公司”。

用戶電腦中毒后，會(huì)接收遠(yuǎn)程指令，去拜候阿里巴巴()、清博大數(shù)據(jù)()和各大搜索引擎(百度、360、搜狗和中搜)，不單扒取阿里的企業(yè)注冊(cè)信息和交易內(nèi)容(如貿(mào)易共需求信息等)，還會(huì)扒取微信公眾號(hào)里的各個(gè)企業(yè)信息，并在搜索引擎上為一些企業(yè)和產(chǎn)品刷排名。

這些行為會(huì)大量占用被感染電腦的CPU資源，產(chǎn)生電腦變慢、發(fā)熱等。

事實(shí)上，此病毒早在 2014 年便已出現(xiàn)，但作者極為謹(jǐn)慎，檢測(cè)到電腦中存在 360 安適衛(wèi)士、騰訊電腦管家等安適軟件時(shí)，便不會(huì)下載病毒。

詳盡病毒分析見此。

病毒模塊相關(guān)數(shù)據(jù)

病毒執(zhí)行進(jìn)程樹 

CPU占用情況

病毒任務(wù)

引用微信數(shù)據(jù)功能

軟件包簽名信息