日前，火绒安全团队发现，万能压缩、起点PDF阅读器、迷你看图王、新速压缩、直购助手等一批软件内置后门程序，该后门可用来下发任意模块到用户电脑隐秘执行，威胁极大。目前，我们发现其云控下发的模块会投放间谍木马，用以收集用户浏览器历史记录等信息。此外，该木马还会利用QQ登录凭证窃取QQ身份信息。

由于所述软件通过官网和各下载站进行传播和推广，影响范围较大，建议近期下载安装过的用户及时排查。火绒用户无须担心，火绒软件最新版已对所述软件中的后门程序进行拦截查杀。

分析发现，该后门程序下发的云控配置，除了统计用户电脑中软件安装情况外，主要用来收集用户浏览器浏览记录，并回传至后台。与以往我们披露的浏览器收集行为不同的是，该后门收集的浏览器历史记录已经具体到详细的网页地址，并可根据搜索的关键字随时远控收集行为和内容。

截至目前，所收集的浏览器网页记录多与举报投诉类和财经类网站相关，包括12315、新浪投诉平台、同花顺财经等，但不排除后续通过云控下发收集其它浏览记录命令的可能。

此外，该后门程序投放的间谍木马，还会利用用户QQ登录凭证，进入QQ空间窃取用户的年龄、出生日期、性别等重要个人隐私信息并回传至后台，严重侵犯用户隐私。

通过软件和代码溯源，我们发现上述软件均为同源软件产品，且与我们曾披露过的万能压缩、Clover等软件（详见报告《灰色产业链成病毒传播最大渠道 流量生意或迎来最后的疯狂》）带有相似的远程模块的调用方式，或系同一家流氓软件厂商所为。

近年来，流氓软件厂商传播的套路不再是靠简单的劫持浏览器、捆绑推广等方式，他们不仅开始与下载站等推广平台进行合作暗刷流量，甚至会内置后门程序，通过云控下发各种侵权指令与病毒，来收集用户各类隐私信息加以利用，并随意操控用户电脑，如本文描述的后门程序可以精准收集用户浏览的网页地址，监视用户上网行为，其意图和背后的危害令人细思极恐。对于此类损害用户利益的流氓软件和病毒程序，火绒都将及时的检测拦截，保障用户安全。