关于防范针对视障人士盲用软件定向投毒及紧急处理措施的安全通告
广大视障朋友、无障碍软件开发者及社会各界爱心人士:
近日,根据国内知名视障网络社区争渡论坛的安全通报,以及国内安全厂商“火绒安全”的技术溯源确认,一款专门针对视障群体、通过感染盲用软件安装包进行传播的恶性木马病毒再度死灰复燃。
该病毒团伙曾在2020年通过篡改“企鹅FM无障碍版”、“冲浪星”、“智慧人生”等盲用软件进行大规模定向投毒。时隔六年,该黑客组织再次作恶,将病毒捆绑于视障朋友日常必须依赖的盲用软件安装包中。这种专门针对弱势群体赖以生存的辅助工具进行定向破坏的行为,不仅涉嫌严重违法犯罪,更是丧失了最基本的人伦道德底线。
为了保障广大视障朋友的设备安全与个人隐私,我们联合各大社区,特像广大视障朋友发布此紧急安全通告,请大家务必提高警惕,并按照本通告的指引进行自查与清理。
一、 病毒威胁与恶意行为概述
结合2020年火绒安全的深度分析与2026年争渡网的最新样本提取,该病毒具有极强的针对性和极大的危害性:
- 极其恶劣的破坏逻辑: 根据历史代码溯源,该后门病毒的远控指令中,包含了“停止读屏软件(如争渡、NVDA等)”以及“强制电脑静音”的恶意代码。对于视障朋友而言,电脑静音和读屏退出意味着在数字世界中瞬间丧失所有的感知能力。黑客以此手段瘫痪用户的反抗与求助能力,其用心之险恶,令人发指。
- 长期蛰伏与高度一致性: 本次2026年爆发的新变种,经过安全专家初步逆向分析,发现其使用了与2020年企鹅FM投毒事件完全相同的解密密钥
WDRJ@139.com。证实此次攻击并非偶发,而是同一黑客团伙的持续、蓄意作恶。 - 隐蔽的后门与窃密行为: 病毒一旦运行,不仅可能窃取受害者的QQ、微信账号及其他本地敏感文件,还会通过C&C服务器(如 tldw8.cn 等)下发更多恶意模块,将用户的电脑变成随时被黑客操控的“肉鸡”。
二、 2026年最新变种的技术特征
根据争渡论坛的最新技术通报,本次被感染的盲用软件安装包在运行后,会在系统后台执行以下静默操作:
在系统的 C:\Windows\System32 目录下释放名为 Process.exe 的病毒核心文件。
- 病毒文件哈希值:
- MD5:
cf5c156075d5ef6c0efe6e26ada0b89b - SHA1:
3cbda6f8d8a1524a6eca1bea0d50d4bc9fa63acf
还会在Windows的“任务计划程序”中强制添加一个名为 WindowsProcess 的定时任务,启动命令为 Process.exe rw,并以系统管理员最高权限静默运行,使其每次开机都能自动加载。
三、 详细排查与彻底清理指南
如果您近期下载过来历不明的盲用软件安装包,或者电脑出现过突然卡顿、读屏软件异常退出等情况,请务必按照以下四个步骤进行手动排查与清理。
第一步:结束恶意进程
- 按下快捷键
Ctrl + Shift + Esc打开“任务管理器”。 - 读屏软件播报“任务管理器”后,使用
Tab键切换到进程列表。 - 在列表中,按字母
P键,仔细寻找名为Process.exe的进程。 - 一旦找到该进程,按下
Application键(或Shift + F10)打开上下文菜单。 - 使用上下方向键找到“结束任务”或“结束进程”,按下回车键,强制关闭该病毒。
第二步:删除定时任务(切断自启动)
- 按下
Win + R键,打开“运行”对话框。 - 在输入框中输入
taskschd.msc,按下回车键,打开“任务计划程序”。 - 界面打开后,使用
Tab键切换到左侧的“任务计划程序库”树状视图。 - 再次按
Tab键进入中间的任务列表区域。 - 按字母
W键,仔细查找名称为WindowsProcess的任务。 - 找到该任务后,按下
Application键(或Shift + F10),在弹出的菜单中选择“删除”,并确认。这就切断了病毒的开机自启动途径。
第三步:删除病毒本体文件
- 按下
Win + R键,打开“运行”对话框。 - 输入
C:\Windows\System32并按下回车,打开系统文件夹。 - 在该文件夹中,按字母
P键,寻找名为Process.exe的文件。- 重要提醒:System32 是系统核心文件夹,请务必确认文件名完全是
Process.exe,切勿误删其他带有 Process 字眼的系统文件。
- 重要提醒:System32 是系统核心文件夹,请务必确认文件名完全是
- 选中
Process.exe后,按下Shift + Delete键(彻底删除),在弹出的警告提示中选择“是”。
第四步:排查并销毁被感染的安装包
对于已经下载到电脑本地的任何盲用软件安装包,在运行前必须检查数字签名:
- 选中安装包文件,按下
Alt + Enter打开属性。 - 使用
Ctrl + Tab切换到“数字签名”选项卡,浏览查看其数字签名信息。
四、 后续防范建议
目前,争渡网等社区已将提取到的病毒样本正式提交给火绒安全等专业杀毒软件厂商。建议广大视障朋友:
- 立即更新杀毒软件: 确保您的火绒或其他主流安全软件的病毒库更新到最新版本,并执行一次全盘扫描。
- 认准官方渠道: 严禁在非官方QQ群、网盘或不知名小站下载盲用软件。请务必前往软件的官方网站或如争渡网等经过严格审核的正规视障社区下载。
盲用辅助软件是盲人朋友融入现代社会的“眼睛”与“耳朵”。在盲道上恶意挖坑、在盲人专用软件上投毒,是对人类良知的公然践踏,行为极其恶劣。强烈谴责此类无底线的网络黑产行为,并呼吁广大安全工作者、公安网监部门持续关注此类针对特殊群体的定向攻击,通过溯源打击,将犯罪分子绳之以法!
视障朋友们也无需过度恐慌,只要掌握正确的防护方法,保持杀毒软件开启,完全有能力将这类病毒拒之门外。
我们将持续关注事件进展,并随时为大家提供最新的技术支持与安全保障。
参考
- 用户请注意!腾讯“企鹅FM”软件官方下载链接携带病毒 | 火绒官网 (huorong.cn)
- “企鹅FM”带毒事件后续:恐为持续针对视障人士的定向投毒 | 火绒官网 (huorong.cn)
- 一个感染盲用软件安装包的病毒,请用户自行排查 | 争渡网公告 (zd.hk)
张赐荣,视障者,信息无障碍软件优化解决方案资深研发专家。
从事Web/PC/移动端无障碍解决方案研究工作多年,对跨平台可访问性优化实践拥有独特的理论和丰富的实战经验。
精通视障用户软件交互设计,致力于改善、提升产品可及性体验。
评论
发表评论