财经12月6日消息,根据奇摩安全报告,司机精灵软件在卸载时留下了名为“kbasesrv”的后门程序,并包含广告模块。
据悉,该后门程序在用户电脑中执行软件推广、流量劫持、云控锁定浏览器首页等恶意行为。此外,“kbasesrv”还可云控用户电脑中执行任意文件、拷贝或删除文件、结束进程、修改注册表、向指定窗体发送消息等,用户电脑随时面临被远程执行任意操作的风险。
据调查,“kbasesrv”后门程序投放方式除驱动精灵服务项、特殊版本的金山系安装包以外,最主要的方式是当驱动精灵被用户卸载时投放。并且该程序部分云控指令会主动规避主流安全软件以及主要省会城市。
此外,“kbasesrv”后门程序与金山毒霸、猎豹浏览器、猎豹wifi等金山系软件组件有重叠关系,如果金山向这些软件下发云控命令,它们同样可以实施“kbasesrv”后门程序执行的恶意行为。基于金山系用户数量较大,该后门程序影响范围也较广。
报告链接: