近日，腾讯电脑管家安全中心接到许多用户反馈，在访问京东、淘宝等购物网站时，浏览器会莫名其妙跳转到一个推广链接,并且发现电脑中出现大量不明软件。腾讯电脑管家就此进行了专项分析，发现这些用户的机器均被安装了一款名为“晨燕工具箱”的软件。

据悉，该软件会释放一些恶意程序并通过SPI劫持的方式将这些恶意程序注入到系统进程当中，然后在用户不知情的情况静默下载更新一些来历不明的文件，并对主流购物网站进行劫持。目前腾讯电脑管家已对“晨燕工具箱”的恶意软件进行拦截查杀。

(“晨燕工具箱”运行逻辑)

据电脑管家安全专家介绍，该恶意文件驻扎在C盘Program Files目录下且无法卸载，驻扎后，通过“C:\Documents and Settings\All Users\”路径释放两个隐藏的文件夹“dawnswift” 和“dawnswift_loader”，感染用户电脑中的恶意文件即是“dawnswift_loader”释放出来的。同时，“dawnswift_loader”目录下的“ds.dll”文件会尝试查找文件“rdt*.dll”，并通过SPI支持将其注入到系统进程当中，从而对京东、淘宝等主流购物网站进行劫持，并上报用户敏感信息。

(腾讯电脑管家对“晨燕工具箱”进行拦截查杀)

通过对传播方式的跟踪，发现该恶意软件的感染途径主要有四种：假的色情影视播放器，虚假下载网站，论坛博客等互动交流平台上的虚假URL，以及来历不明的盘装系统。

电脑管家安全专家提醒广大网民，要养成在正规网站观看视频、下载软件的习惯，不要轻易点击论坛、即时通信软件当中传播的链接，不要在非正规渠道购买电脑系统，以防电脑受到病毒木马的入侵。此外，要及时下载安全管理软件对恶意程序进行有效的拦截和防护，在上网时保持电脑管家等安全软件的正常开启，完全能够防御此类恶意程序的骚扰。