#安全资讯 微信公众号「知识存档」大肆传播带毒软件，用户从非官方渠道下载任何软件都应该保持警惕。系统工具 Windows 超级管理器开发者接到用户反馈称该软件被火绒拦截，经过分析后发现传播源头是公众号，并且此公众号分享的 134 个项目里有半数都带后门。查看详情：https://ourl.co/112737

据蓝点网网友分享的消息，Windows 超级管理器开发团队科利特尔日前发文公开曝光微信公众号「知识存档」大肆传播带毒软件，此公众号以分享各类 PC 软件为主，但其分享的大多数软件都不是官方版本，反而是安装包里携带后门程序。

最初有用户下载软件时触发火绒安全拦截才发现异常，随后该用户将拦截情况反馈给科利特尔团队，团队进行排查后确认知识存档分享的版本为老旧过期版本并且携带异常文件，经过扫描后确认分享的文件有毒。

不少公众号运营者并非专业人士因此有可能是不慎下载带毒版本并分享，所以科利特尔团队还下载知识存档分享的其他软件进行扫描，结果发现这个公众号分享的半数软件都存在问题。

134 个项目里半数有问题：

科利特尔团队检索知识存档通过夸克网盘分享的 134 个项目，这些项目合计约为 12.8GB，随后将这些项目全部下载到本地使用安全软件进行测试。

测试结果显示 360 安全卫士检测到 44 个风险项、腾讯电脑管家检测到 35 个木马病毒、360 杀毒检测到 62 个风险项、火绒安全软件检测到 46 个风险项。

这些风险项里多数都是感染型病毒和后门程序，具体包括远程控制后门、释放器、木马或加载器、其他后门程序，这些后门还都使用相同的 C2 服务器：hackerinvasion.f3322.net

注：f3322 是动态 DNS 域名服务 3322.net 的服务域名，黑客使用的 C2 服务器域名采用 DDNS 解析，不得不说还真会省钱。

主动投毒还是被动感染：

科利特尔团队经过分析后认为知识存档公众号运营者主动投毒的可能性较低，更大可能是这名运营者本身 PC 已经被感染各种后门程序，所以在打包压缩其他程序时也被植入后门程序。

不过蓝点网倒是不怎么认可这种观点，原因在于 Windows 10/11 本身启用 Microsoft Defender 反病毒软件，除非用户通过工具主动禁用，否则必须安装其他杀毒软件才能禁用 Microsoft Defender。

在开启任何杀毒软件的情况下都应该能检测到系统遭到感染，而且分享 134 个项目时间跨度非常长，通常 Windows 用户也比较频繁的重装系统 (一般 1~2 年就会重装一次)，重装系统意味着后门程序就无法持久化了 (当然感染用户使用的绿色软件再随着重装后启动也是有可能的)。

所以从实际情况来看故意投毒的可能性更高，要说运营者完全不知道自己已经被感染确实不太可能，除非运营者也是纯小白用户所以才长时间无法发现这类问题。

最后这里也提醒我们不要轻易下载来自非官方渠道的软件，因为有可能分享者都不知道自己分享的软件包是否安全。

via 科利特尔