【快讯】
根据“火绒威胁情报系统”监测，火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块，正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下，利用用户电脑访问大量的陌生网址，导致用户电脑CPU占用率变高，变得卡顿。

目前，该恶意软件仅单日侵扰用户量就达数万，请大家小心防范。火绒最新版（个人版、企业版）可及时拦截、查杀上述恶意代理模块，且不影响软件正常功能，用户可放心使用。

火绒工程师分析发现，即使用户卸载“奇客PDF转换器”，其恶意代理模块也不会被随之删除，而是作为系统服务，开机自启，达到永久驻留在用户电脑中的目的。此外，我们还发现了若干版本的“奇客PDF转换器”与其释放的恶意代理模块，但无论是何种版本的恶意模块，其功能代码都极为相似。
通常，黑客可以使用代理模块将用户的终端设置为代理服务器，并通过占用用户终端的网络和计算资源，来进行爬取网站信息、网络攻击等行为。如此一来，即便被入侵的一方发现攻击并进行溯源，也只会看到被设置为代理服务器的用户终端地址，而真正的攻击者便可以借此躲避追查。
值得一说的是，火绒工程师进一步溯源发现，“奇客PDF转换器”安装包及其释放的恶意代理模块所属为同一公司，且该公司旗下网站主要经营流量代理服务。因此，不排除该企业利用上述恶意代理模块控制用户电脑成为代理服务器，并进行售卖盈利的可能。
这也与我们此前发现并分析的“流星加速器”携带恶意代理模块事件近乎一样，由此也可以看出，恶意代理模块正在被广泛的投入商业化使用中，并威胁用户安全。对此，火绒在帮助用户拦截此类威胁的同时，也再次提醒大家小心防范。

附：【分析报告】

一、 详细分析

近期，火绒接到许多用户反馈称电脑会莫名卡顿，CPU占用率高，且如下进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。经分析发现，用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。该恶意软件与先前分析过的流星加速器类似（“流星加速器”恶意投毒控制用户电脑 恐用于商业牟利），都是通过下载站下载器进行静默传播推广。在该恶意软件安装过程中会释放恶意代理模块到%appdata%\tx目录。即使用户卸载奇客PDF转化器，恶意代理模块也不会随之删除，而是作为系统服务，开机自启，永久的驻留在用户电脑之中。虽然不同版本的奇客PDF转换器释放的恶意代理模块名称不同，但是功能代码极为相似，下文以svchost.exe分析说明。相关运行流程如下图所示：

运行流程图

奇客PDF转化器运行后，会在用户%appdata%目录下创建tx文件夹，将相关代理模块释放于其中。随后运行start.bat脚本，该脚本根据用户电脑的.NET环境来决定运行Start2.0.exe还是Start4.0.exe。Start2.0.exe/Start4.0.exe运行之后会遍历系统服务，如果不存在名为“SDRSVC_93c83”的服务或该服务没有正在运行则启动相应目录下的svchost.exe。相关代码如下图所示：

检测系统.NET环境并运行Start2.0.exe/Start4.0.exe

检测SDRSVC_93c83服务运行状态
svchost.exe运作之后会将自身注册为服务并启动运行，相关代码如下图所示：

svchost.exe注册为系统服务

系统服务运行信息

随后svchost.exe连接hxxp://pr.qikels.com:301/GetIpPort和hxxp:// pr.qikels.com:301/GetIpPortzhima获取远程代理服务器IP及端口信息。相关代如下图所示：

获取远程代理服务器信息

成功获取远程代理服务器信息后，svchost.exe便会接收远程代理服务器下放的目标网址数据包并访问，最后将结果数据包进行回传。相关流量数据包如下图所示：

Wireshark抓包情况

svchost.exe还会收集用户电脑环境信息发送至111.229.195.75:8102/insideapi/saveInstallLogV2，相关数据如下图所示：

用户电脑环境信息

同时，我们在svchost.exe里还发现了云控AdWinfrom.exe模块开启的相关代码。AdWinfrom.exe模块目前暂未发现，不排除后续奇客PDF版本转换器将其释放的可能性。相关代码如下图所示：

云控AdWinfrom.exe模块开启

二、 溯源分析
经过溯源分析发现，奇客PDF转换器安装包及其释放的恶意代理模块svchost.exe的均来自于 “杭州至流科技有限公司”。签名信息如下图所示：

奇客PDF转化器安装包签名信息

svchost.exe签名信息
经查询发现，杭州至流科技有限公司旗下网站“至流软件”（hxxp://422K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4A6Z5N6i4A6Z5j5h3W2A6M7q4)9J5k6h3y4G2L8g2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4#2!0n7b7W2)9^5c8W2!0q4z5q4)9&6x3q4!0m8y4g2!0q4y4W2!0n7y4g2)9^5x3g2!0q4z5g2)9^5y4#2)9^5c8W2!0q4y4q4!0n7b7W2!0m8x3#2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4W2)9&6b7#2)9^5c8q4!0q4y4g2)9^5b7g2!0m8x3g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4#2)9&6b7W2!0n7z5q4!0q4y4g2)9^5y4g2!0n7x3#2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4W2)9^5x3g2!0m8c8W2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4g2)9&6b7W2!0n7c8g2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4#2!0m8y4q4!0n7b7g2!0q4c8W2!0n7b7#2)9&6b7b7`.`.

至流科技备案网站信息

至流软件网站首页信息

根据公司信息检索结果，我们得知杭州至流科技有限公司主要人员中包括洪某和伍某。相关信息如下图所示：

杭州至流科技有限公司主要人员信息

通过对奇客PDF转换器所使用的域名（hxxp://2a1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4q4A6K9$3g2D9M7#2)9J5k6h3y4G2L8g2!0q4c8W2!0n7b7#2)9^5z5g2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4W2!0n7b7g2!0m8c8W2!0q4y4W2!0n7b7g2)9&6x3q4!0q4y4g2)9&6x3q4)9^5c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4q4!0n7b7W2!0m8b7#2!0q4y4g2)9^5c8W2)9&6x3g2!0q4y4#2)9^5c8g2!0n7x3q4!0q4z5q4!0m8c8W2!0m8y4g2!0q4z5q4!0n7c8q4!0m8c8W2!0q4y4q4!0n7b7W2!0n7y4W2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4g2!0n7x3g2)9&6c8g2!0q4y4g2)9^5y4g2!0m8b7#2!0q4y4g2)9^5c8W2!0n7z5q4!0q4c8W2!0n7b7#2)9^5z5q4!0q4z5q4)9^5b7W2)9^5c8W2!0q4y4g2!0n7y4#2)9&6c8g2!0q4y4g2!0m8y4g2)9^5y4#2!0q4y4g2!0m8c8g2!0m8x3W2!0q4y4q4!0n7z5g2)9&6x3q4!0q4y4W2)9^5x3q4)9&6c8q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4#2!0n7b7W2)9&6b7#2!0q4y4#2!0m8y4#2)9&6x3g2!0q4y4W2)9^5b7g2)9^5x3q4!0q4y4W2)9&6b7#2)9^5z5g2!0q4z5g2)9&6z5g2)9&6x3q4!0q4y4g2)9^5y4g2!0m8b7#2!0q4y4g2)9^5c8W2!0n7z5q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4q4!0n7z5q4!0n7b7W2!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4q4!0n7b7g2!0n7b7g2!0q4y4g2)9&6x3g2)9&6z5q4!0q4y4q4!0n7z5g2)9&6c8W2!0q4y4g2)9&6x3q4)9^5b7#2!0q4y4W2!0m8x3q4!0n7y4#2!0q4y4g2)9^5y4#2!0n7b7g2!0q4y4#2)9^5c8g2!0n7x3q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4W2!0n7y4q4!0m8b7g2!0q4y4W2)9&6c8W2)9&6x3q4!0q4y4g2)9&6x3W2)9^5b7#2!0q4y4q4!0n7b7#2)9^5c8q4!0q4y4W2)9&6c8W2)9&6x3q4!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4#2)9&6b7W2!0n7z5q4!0q4y4g2)9^5y4g2!0n7x3#2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4W2)9^5x3g2!0m8c8W2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4g2)9&6b7W2!0n7c8g2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4#2!0m8y4q4!0n7b7g2!0q4c8W2!0n7b7#2)9&6b7b7`.`.

苏州奇客乐思网络科技有限公司主要人员信息

三、 附录

病毒hash

[培训]科锐逆向工程师培训第53期2025年7月8日开班！