2345天气插件(网警提醒：浏览器里有这些插件要小心了！已有数十万台电脑被感染)

日前，火绒安全团队发现某商业公司制作的流量劫持程序“FakeExtent”（产品名为“天馨气象”），正通过“WIN7之家”等下载站中的多款激活工具大范围传播。该程序入侵电脑后，会释放多个恶意插件，篡改系统配置、劫持流量。 通过“火绒威胁情报系统”监测和评估，已有数十万台电脑被感染。

据悉，制作该恶意程序的团伙还注册了公司。2015年，360安全团队曾曝光过该病毒团伙，之后该团伙有所收敛，最近他们重出江湖，并利用激活工具传播病毒。通过垃圾下载站进入用户电脑后即释放多个病毒模块用来劫持用户，包括天馨气象和星驰天气助手等插件。

一些Windows系统用户安装盗版操作系统，借助各类激活软件激活系统。而该恶意程序会通过“再打包”方式将恶意程序安装包打包到系统激活工具中，再将重新打包的激活工具上传至“Win7之家”等下载站(win7zhijia.cn)。下载页面，如下图所示：

含有恶意程序的下载站

常见被捆绑该恶意程序的激活工具，如下图所示：

被捆绑的激活工具

恶意程序安装包运行后不但会尝试释放多款浏览器插件进行流量劫持，还会为恶意程序安装包创建自启动项，每次开机都会检测插件部署情况，如果插件不存在则会再次进行释放。受该程序影响的部分浏览器，如下图所示：

受该恶意程序影响的部分浏览器

Chrome被劫持后

IE浏览器被劫持后

被感染得浏览器主要恶意行为如下：

1.关闭操作系统UAC权限管理，添加自启动项。

每次开机后病毒模块都会检查所有恶意软件和插件的部署状态，如果检测不存在则会再次自动安装劫持用户。

2. 在用户访问网页时，会跳转到带有恶意程序作者推广计费号的网址。

恶意浏览器插件会在所有被访问页面代码中插入恶意脚本，如当访问百度或其他导航站页面时，被插入的恶意代码会将页面跳转到用于流量劫持的跳转页面，最后再跳转到带有病毒作者推广计费号的URL地址。例如在访问百度时，首先会跳转到www.fj066.com 然后重定向到携带推广计费号的网址hxxps://www.baidu.com/?tn=939*****_hao_pg。

被劫持的百度页面

部分被劫持的网站如下：

被劫持的部分网址

除了上述常见的网站外，恶意脚本还会对另外的一些导航网址（如：hao360.cn）进行过滤，当匹配到这些网址时会强行跳转到带有恶意程序作者推广计费号的2345网址导航地址，此类导航站地址共300多个。

3. 将下载的安装包替换为恶意程序作者提供的渠道包。

恶意插件会将一些软件的官网下载地址和搜索引擎搜索结果中的下载地址替换为恶意程序作者提供的渠道包下载地址，我们不排除该恶意插件将来将软件下载链接替换为病毒下载链接的可能性。

4. 在访问网页中插入浮窗广告。

同样使用正则匹配网址，验证浏览器信息是否符合配置里的要求，若符合，则在右下角页面中插入悬浮窗广告。其中若是电商站点则会插入该站点的商品广告，否则会插入低俗的悬浮窗广告。被插入的各类悬浮窗广告，如下图所示：

浮窗广告

以配置ID为3001的恶意脚本为例，共有40多个网址会被插入浮窗广告。如下图是部分被插入浮窗广告的网站。

部分被插入浮窗广告的网址

5. 在用户访问购物网站时，将商品链接更换为作者的CPS返利链接。

在访问淘宝、京东、苏宁等69家电商网站时，点击商品链接，会跳转到作者的返利链接。

1、请安装正版操作系统，并从正规渠道激活；

2、为计算机安装杀毒软件，定期扫描系统、查杀病毒；

3、及时更新病毒库、更新系统补丁；

4、下载软件时尽量到官方网站或大型软件下载网站。

来源：火绒安全实验室