在各式各样的文件格式中，由于卓越的安全性与阅读性，PDF受到职场人广泛的追捧。因此，PDF格式转换软件如今已成为许多办公人员的必备软件。

然而，这也为网络病毒提供了滋生的沃土。近日，360安全大脑发现一款名为“奇客PDF转换器”的软件正携带恶意暗刷模块和代理模块，通过各大下载站的下载器进行静默传播。病毒模块在用户运行软件后就可被激活，并可以通过控制用户电脑，进行爬虫、暗刷等操作。

由于“奇客PDF转换器”下载用户数量较多，致使该病毒影响范围较大，目前已有数十万用户不幸中招，且感染量还在持续递增。

不过广大用户不必过分担心，在360安全大脑的极智赋能下，360安全卫士等系列产品可及时拦截、查杀该病毒模块，全方位保障隐私及财产安全。

藏身PDF转换器静默推广

三重伪装强势“入驻”用户系统

360安全大脑数据分析显示，带有恶意模块的“奇客PDF转换器”安装包主要是由下载器及PPTV静默推广，安装包在安装完成后，就会通过一个批处理开始安装病毒服务模块。该病毒不仅将服务名称伪装为“数据使用量”，也将指向的文件伪装成系统程序“svchost.exe”，此外，该服务程序实际是使用C#语言编写，但关键代码部分均使用DNGuard HVM进行强混淆。

当打开软件后，主界面如下图：

软件主程序运行后，会检测该病毒服务模块是否安装，若未安装，还会继续进行病毒服务的安装操作：

病毒服务模块安装完成后，程序会创建名为“SDRSVC_93c83”指向“svchost.exe”的服务：

服务程序启动后，会通过接收来自hxxp://pr.qikels.com:301/GetIpPort? 中的C&C服务器的代理策略，执行代理逻辑转发服务器下发的数据流量，在未经用户允许的情况下占用用户的网络和硬件资源，使用户机器沦为帮助其进行爬虫、暗刷行为的工具。

远控木马暗刷流量肆虐网络

360安全大脑释放体系化防护力

为实现恶意功能的执行，该程序会将用户机器请求的相应网页数据发送到MainServer中指定的IP和端口上：

网络请求模块中还内置了一个代理服务器平台地址zproxy.lum-superproxy[.]io:22225。该代理属于Luminati平台(该平台号称拥有超过7200万动态IP)，以供进行爬虫的时候可以使用更多的IP地址来进行。

此外，程序还会开放本地机器的8080-8089端口，做为代理服务器。360安全大脑的研究人员测试时未见有远端设备接入，猜测开启代理可能是为了供其它爬虫类应用继续使用。

而爬虫模块还会通过修改UserAgent等信息模拟各种不同设备访问，其中部分UserAgent如下：

与此同时，程序还会进行大量的爬虫及验证码打码操作请求。从目前的数据来看，爬虫主要是在各省的国家企业信用信息公示系统里进行全国各地的企业信息数据的爬虫采集，验证码打码请求主要是针对极验(GEETEST)的。

暗刷流量受影响的一些网站不仅包括大众点评、苏宁易购、世纪家缘、乐视等知名网站，甚至还包括一些违法的赌博、色情网站。下图列举了一些部分被请求的链接：

360安全大脑数据统计显示，该恶意程序目前已在国内多个省份传播，感染用户总量达数十万，其中广东省受灾情况最为严重。

面对远控木马等各类层出不穷的网络安全威胁，为全方位守护网络安全，360安全大脑赋能下的新一代防护体系，不仅推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力，还增加了应对RDP爆破攻击，web应用系统漏洞，webshell攻击等多项针对服务器的防护能力。

同时，依托于2EB+全网大数据和快速分析发现能力，360安全大脑可第一时间发现软件劫持攻击，文件篡改攻击，供应链攻击等各类新生攻击事件，输出体系化防护能力。

目前，在360安全大脑的极智赋能下，360安全卫士等系列产品可在第一时间拦截查杀该类木马威胁。同时，面对强势来袭的远控木马威胁，360安全大脑给出如下安全建议：
1.对于个人用户，可及时前往 weishi.360.cn 下载安装 360安全卫士 ，全面拦截各类木马病毒攻击；

2.对于广大政企用户，可通过安装 360终端安全管理系统 ，有效拦截木马病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；而对于小微企业，则可直接前往 safe.online.360.cn ，免费体验 360安全卫士团队版 ，抵御木马病毒攻击；

3.对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；

4.不随意打开陌生人发来的各种文件。