据火绒威胁情报系统监测，火绒工程师发现奇客PDF转换器携带恶意代理模块，正在通过下载站下载器进行推广。

据了解，近期火绒接到许多用户反馈称电脑会莫名卡顿，CPU占用率高。

且进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。

最终经工程师分析发现，用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。

火绒工程师分析发现，奇客PDF转换器主要是通过下载站的下载器进行静默传播推广。

然后，在用户安装软件的过程中，它就会释放恶意代理模块到%appdata%\tx目录。

简单来说，就是该软件携带的恶意代理模块会在不被用户发现的情况下，利用用户电脑访问大量的陌生网址，导致用户电脑CPU占用率变高，系统变得卡顿。

并且，即使用户卸载奇客PDF转换器，其恶意代理模块也不会被随之删除，而是作为系统服务，开机自启，达到永久驻留在用户电脑中的目的。

另外，火绒还发现了若干版本的奇客PDF转换器与其释放的恶意代理模块。

无论是何种版本的恶意模块，其功能代码都极为相似。

经过溯源分析发现，奇客PDF转换器安装包及其释放的恶意代理模块svchost.exe的均来自于杭州某科技有限公司。签名信息如下图所示：

该公司旗下网站“ZL软件”则主要经营流量代理服务。

对于某些垃圾软件下载站的静默推广行为，大家应该都非常熟悉了。

当我们在某个资源网站下载软件时，如果点击了高速下载，那么下载的可能并非是软件本身，而是所谓的“高速下载器”。

而这种下载器，很可能会在用户后台捆绑安装大量垃圾软件，这就叫作静默推广。

此前在国内爆发的「麻辣香锅」病毒，也是与某些垃圾系统下载站达成合作，在这些下载站推广带毒的工具和系统。

这次中招的奇客PDF转换器，同样是通过这种方式进行传播的。

当用户安装这个软件后，则会中毒并沦为攻击者的肉鸡，用户却很难发现。

火绒称，目前，该恶意软件仅单日侵扰用户量就达数万，请大家小心防范。

目前火绒安全软件已经升级病毒库可对奇客转换器进行查杀，如果大家曾经使用过该转换器，建议进行查杀确保安全。

来自：扩展迷EXTFANS（ID：infinitydaily）