无节制

警惕无节制推广：2345旗下下载站的隐患

最近，火绒安全团队揭露了一起令人震惊的事件：2345旗下“多特下载站”被发现传播名为“commander”的木马程序。这款恶意软件以静默植入的方式侵入用户系统，即使下载器关闭，它仍潜伏在后台，篡改浏览器首页，持续推送广告和不受欢迎的软件。火绒安全软件已成功拦截并查杀此类恶意行为，保护了用户的权益。

木马 commander 的狡猾之处在于它能避开安全软件的检测，偷偷进行广告推广，已经悄然安装了九款软件，形成了一条黑色产业链。火绒工程师强烈建议用户选择正规渠道下载，对第三方下载器保持警惕，火绒将继续坚守防线，拦截并打击侵犯用户隐私的软件。

下载器恶意行为背后，DTPageSet.exe扮演了关键角色。它不仅通过修改注册表、配置文件和快捷方式参数，实现浏览器首页的锁定，还试图添加云端书签，如在360浏览器中，可以看到它悄悄地添加书签，插入链接的行为。

木马 commander 利用多特下载器进行悄无声息的推广，安装后启动广告和推广模块，具体表现为：

• 自动注册服务，开机时悄悄启动commandtools.exe


• 下载加密配置文件config.dll，以进一步控制行为


• 对下载内容进行检查，传播广告和推广程序


• 用户界面频繁弹出广告窗口，侵扰用户

appupdui.exe的行为更为狡猾，它会根据config.dll中的广告列表进行静默下载和安装，虽然目前未发现下载appupdui.exe的特定配置，但未来可能有所变化，需引起高度重视。

木马样本详情：火绒团队已经收集并分析了样本的哈希值，详细信息可在附录中查看，以助于用户和安全专家更好地识别和防御。

面对这样的威胁，用户必须保持警觉，选择信誉良好的下载平台，同时定期更新安全防护措施，以确保个人信息和设备安全。让我们共同努力，抵御这类恶意软件的侵袭，保障网络环境的纯净与安全。