近日，安天追影小組注意到在某反病毒論壇有用戶反映：Windows服務器運行速度很慢，服務器的CPU被大量占用。經分析原因是被惡意運行了旺寶平臺刷流量的掛機軟件，在后臺大量訪問淘寶鏈接。黑客利用大量掛馬，通過掛機軟件進行刷流量賺錢，導致服務器運行速度緩慢，且運行在服務器的某殺毒軟件不能識別，人為手動刪掉后仍會出現。

       經過PTA追影系統分析，此樣本屬于捆綁式惡意刷廣告的惡意程序，主要釋放旺寶刷流量的相關程序，使用訪問免費數據庫成功與否來判斷是否進行后續的相關操作。主要特點是通過訪問數據庫是否成功來實現是否繼續運行，通過占用任務管理器句柄來實現無法使用taskmgr.exe以達到無法結束此惡意刷流量軟件（由于網吧的關閉按鈕實現的最小化的功能）。通過查找窗口類名及按鈕對象來實現旺寶軟件的一鍵隱藏功能。

       該惡意程序首先通過遠程連接數據庫以判斷網絡是否通暢，然后查詢遠程數據庫中的數據與被掛載機器的IP、mac、系統版本，再判斷是否是黑客自己操作。除此以外，樣本釋放的衍生文件都是旺寶站點上的程序，其中的刷流量的旺寶ID為622202。遠程數據庫的地址為阿里云免費提供的臨時域名：qds199747491.my3w.com。該域名的主要行為是和SQLSEVER數據庫通信，然后下載相關的旺寶軟件，并提交刷流量任務。通過黑客追蹤，可以發現，萬網通過為購買IP服務的客戶，提供一個臨時的萬網my3w.com下的免費二級域名，從而避免了備案信息和注冊信息的登記。黑客正是采取了這種較為隱蔽的方式來隱藏自己的身份。

       追影小組提醒大家，惡意掛機刷流量軟件已經發展的很久很成熟了，用戶不能因為安裝了殺毒軟件就放松警惕，有異常情況時，一定要要及時檢查電腦的安全性能。