近日，腾讯安全御见威胁情报中心监测发现，一病毒团伙伪装成多款知名软件的官方下载站，借机传播病毒下载器。该团伙主要通过购买搜索引擎广告来获取流量，搜索关键词涉及谷歌浏览器、flash player等知名软件。一旦运行该软件，病毒下载器联网后就会获取推广配置文件，静默推装超过30款恶意软件，此后还会通过锁定浏览器及添加网址收藏夹等方式来谋取收益。据统计，受影响的用户累计达数十万。目前，腾讯电脑管家现已全面拦截并查杀该病毒。

（图：腾讯电脑管家拦截并查杀该病毒）

根据腾讯电脑管家团队分析发现，此款带病毒下载器的网站在某搜索引擎的排名极为靠前，由此获得了巨大的用户流量。以检索“flash player”为例，搜索结果第一条展示的就是伪装的flash player官方下载页面。点击进入后，该网站会出现一个名为“软件管家”的下载页面，点击该页面任一链接都会下载该病毒下载器。值得一提的是，该病毒下载器的文件MD5会频繁变换更新，主要意图是防止安全软件检测后而拦截查杀。

（图：病毒下载器假冒常用工具软件的下载页面）

经分析，该病毒下载器主要通过获取配置文件进行推广软件安装，一旦运行该病毒下载器，用户电脑便会静默安装包括“迅捷助手、模拟大师、灭神游戏、拷贝兔趣压”等超过30款恶意软件，同时还不会安装用户通过搜索引擎寻找的那款软件。

此外，该病毒下载器还会篡改浏览器配置、添加收藏夹及进行主页劫持等恶意行为。首先其会通过云端下载Dll文件进行添加网购等收藏夹，然后篡改注册表网址导航及浏览器快捷方式启动参数的方式进行主页劫持，最后跳转到带推广id的某网址导航站。根据腾讯安图高级威胁追溯系统统计，该病毒自五月初开始活跃，每天平均下载中招的用户近万人，截至目前已累计数十万用户电脑被感染。

（图：病毒下载器传播趋势）

病毒下载器能强迫用户完成安装，从而提高自身流量，对犯罪团伙而言无疑是增长利润的利器。对此，腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户务必做好自身防范措施，建议不要在网络、论坛等下载软件，需到软件管理等正规渠道下载正版软件，可以有效减少木马病毒的侵害。同时保持安全软件开启状态，对各类病毒攻击实时防御，并信任安全软件的查杀提示，可有效保护个人电脑安全。