思科Talos 的安全专家把已经安装在1200万台电脑网络上流行的Tuto4P广告软件归类于后门软件。

  思科Talos安全情报和研究小组的安全专家发现存在一个恶意软件安装在世界各地的1200万台电脑。大部分的设施位于美国，澳大利亚，日本，西班牙，英国，法国和新西兰。

  这个恶意软件是由一个叫做Tuto4PC的法国广告公司制作出来的，这家公司以前名为Eorezo Group。根据思科 Talos团队的调查，这家公司由于在用户的电脑上安装多余软件来收集个人信息，而被法国当局所知。

  分析Tuto4PC的 OneSoftPerDay应用程序的思科专家发现了大约7000个一般木马的独特样本。所有样品的特征是名称包含“Wizz.”的字串(也就是“Wizzupdater.exe” 和 “WizzInstaller.exe.”)。

  一般的恶意软件都通过以下域名通信

  wizzuniquify.com

  wizztraksys.com

  auhazard.com

  专家发现该恶意软件实现一个典型后门的功能，它能够下载并安装其它恶意代码，如System Healer（1），它也能够检测是否存在安全解决方案和沙盒机制。

  查看由Tuto4PC为OneSoftPerDay撰写的最终用户许可协议（EULA），我们能够获知作者告知用户数据收集活动是用于统计目的。

  数据的收集活动用于统计目的

  特别强调的是，统计的目的是去研究网络上读者，只有本机构才可以收集关于互联网用户访问网站地址的一些数据。收集信息是完全匿名的，而且绝不允许使用该信息与一个具体的人进行关联。

  思科Talos专家不是强调该应用实现的功能而是指出“这些大量不受欢迎的功能在受害机器上足以提供完整的后门的能力”。

  根据Tuto4PC网站，这个软件是被用来显示广告，该公司还经营一个近1200万台电脑(2014)的网络，这和被思科发现感染设备的数量相同。

  “基于全面的研究，我们认为有很明显的理由可以将这类软件归为一个后门软件。至少这是一个潜在的不受欢迎的程序(potentially unwanted program，pup)。有很充足的证据说明这个软件已经达到甚至超过了后门的定义。因此,我们为所有企业客户阻挡这个软件。”——思科Talos在博客中声明。

 “一个合法的商业创立，多个子公司、不同领域，软件，和作为公开上市公司都没有阻止这个广告巨头放缓他们推动这个后门软件走向公众的企图。”

  Tuto4PC的立场是什么呢？

  “Tuto4PC Group CEO Franck Rosset 解释：公司软件逃避技术的实现是为了使它更容易为用户安装避免保护措施带来的问题，Talos 在博文中描述TUto4pc 是一个可疑的分布在企业中的恶意软件是错误的，我们目前正在与律师接洽应对Talos’对我们公司业务错误的，负面的报道进行申诉。

  我们是法国证券交易所的挂牌公司。2004以来，我们的商业模式是创建窗口小部件，免费下载网站上的教程等，我们课程的下载对于同意在下载过程中附带一个广告软件的协议的用户是免费的。

  与Talos’错误的指控相反，我们的业务已由法国监管机构的批准，我们从来没有被指控或起诉的任何恶意软件分布！！！！

  我们有一个技术子公司（Cloud 4PC），在网络安全领域进行开发。由于最近一些防病毒软件的不必要的阻挡，封锁了Tuto4PC 的广告软件，我们使用的是旁路技术使人们可以轻松下载我们的程序（和广告软件）。尽管旁路软件是非常有效的，但它没有其他的目的或用途，仅仅是帮助Tuto4PC 广告软件下载。

  在超过1000万用户安装中，根本没有任何恶意软件活动，Talos 没能能够证实或显示这个软件恶意的使用，如果有任何恶意软件活动，显然应该有一些用户投诉。

  大家可以看到，我们是一家法国公司，很容易被查到，我们不是躲在一些野蛮国家，我们不明白为什么Talos在博文中发布前没有联系我们。

  不管怎样，我们的子公司Cloud 4PC很快就要推出“AV的助推器“，一个有助于阻止任何真正的恶意软件的杀毒的助推器，它采用类似于我们之前开发的旁路技术。“

  互联网安全隐患普遍存在，当前许多工控网络与互联网有着密不可分的联系，互联网安全严重影响到工控网络的安全，企业应加强工控网络系统安全的防范。

  谷神星致力于工业控制系统与设备漏洞扫描与漏洞挖掘，软件白名单，工业控制网络风险评估与安全审计，搭建模拟工控网络安全攻防仿真试验验证环境，提供完全自主可控的安全防护产品及相关行业的防护解决方案，为企业提供覆盖工控系统整个生命周期的网络安全解决方案及工控信息安全培训。

（1）System Healer是一个危险的恶意软件，这种恶意感染具有自我复制的属性，通过它，黑客可以很容易地插入他们的破坏性代码的副本到周围的电脑。