自上周开始就有小伙伴在微博上戳我们询问为何PC无缘无故安装大量软件并卸载重启后继续安装。

期初对于该事件我们一无所知，通过微博搜索发现有大量网友指责LOL客户端存在后台静默安装各类软件的博文。

然而最终LOL只是众多被挂马的客户端之一，而这些被挂马的客户端本身并没有问题，问题在于网络运营商（ISP，如国内三大运营商）通过劫持这些客户端从而进行海量级投毒。

以下内容整理自@360安全播报：

自上周末起360监控到一批下载者木马传播异常活跃，在3月7日时360的拦截两已经超过了20万次，同时网页挂马量的报警也急剧增加。

而经过分析木马的传播源头竟然是各大公司的正规软件，其中LOL和QQLive占了前三天传播量的95%以上，河南省成为最多受感染的用户的省份。

木马传播源头：

/英雄联盟/Air/LolClient.exe（腾讯公司英雄联盟客户端）

/QQLiveBrowser.exe （腾讯公司QQLive视频播放器）

/youkupage.exe （合一公司优酷客户端）

/QyFragment.exe （爱奇艺科技公司爱奇艺客户端）

/QQGAME/SNSWebBrowser/IEProc.exe  （腾讯公司QQ游戏大厅）

/SogouInput/7.4.1.4880/SohuNews.exe   （搜狗公司搜狗输入法）

让人感到非常无奈的是本次海量级挂马竟然由运营商参与其中，该病毒通过运营商劫持用户网络访问在网页代码中插入一段iframe广告代码。

而这段广告代码则为客户端引入了带挂马攻击的Flash文件，究其原因在于国内许多桌面客户端仍然使用旧版本且带有漏洞的Flash插件，比如LOL、QQLive等。

除了Flash本身的漏洞让这些客户端容易遭受到攻击之外，这些客户端本身也没有做好安全防御、没有对通信进行加密导致了它们在ISP的攻击前不堪一击。

截止至昨天（3月10日）晚上七点，带有Flash攻击代码的远程服务器已经有超过1000万次独立用户访问，仅3月9日这一天就有超过534万独立用户访问到了挂马页面（非主动访问）。

一单用户在使用被挂马（Flash）的客户端时就会通过远程服务器下载木马病毒（.exe）

而该事件的始作俑者对于这次事件也是精心准备的，木马传播者准备了大量的木马免杀版本（免杀：通过安全软件检测）来对抗安全软件的查杀。

在高峰时刻该木马病毒平均每分钟会更新一个版本来针对多个安全软件进行免杀处理。

无利不起早：该木马病毒实际就是一个下载程序和广告程序的集合，一方面在用户电脑上弹出广告，另一方面下载大量推广软件静默安装到用户的电脑上。

在整个木马传播的过程中，至少有三个团体参与其中：

渠道方面有ISP负责，他们对用户进行劫持并在页面中插入广告；

广告提供商为上海米劳传媒，其控制几个挂马传播的服务器；

木马作者则控制着含有Flash攻击代码的服务器。

在对木马作者进行追查之后，发现攻击者来自四川省南充市并已从事网络黑产多年。

该团伙还有自己的广告联盟，主要推广百度卫士、百度杀毒、金山毒霸、放放电影、鱼鱼影音、好123网址导航等。

通过获取到的各方面信息，我们分析出了这个推广团伙的策略手段。首先他们会通过广告商购买渠道的广告展示量，这个过程中，他们会选择一些监管不严的广告商，使自己带有木马的广告不至于被发现。其次会选取客户端软件来展示广告，由于大多数浏览器会升级flash插件，会影响其木马传播。

攻击者更青睐于防护脆弱的客户端软件，最后通过传播的下载者推广软件和广告变现。

做为互联网的基础服务商，运营商应该注意自身行为，切莫使自己的商业广告行为成为木马传播的帮凶；而各大客户端软件，更应该注重用户计算机的安全体验，做好自身漏洞的修复，及时更新所使用的第三方插件，不要再因为已知的软件漏洞再给用户带来安全风险；作为责任的软件厂商，也需要积极推进流量数据加密，来预防在通信过程中被劫持的情况发生；对于广大用户来说，使用一款靠谱的安全软件，开启软件的实时防护尤为重要。