代理病毒

代理病毒，也称为 MITM 代理病毒，是一种流行的浏览器劫持软件。为了传播这种感染，网络犯罪分子经常利用各种广告软件类型的应用程序，通常在未经用户同意的情况下侵入计算机。这些广告软件程序还以投放侵入性广告和收集与浏览相关的数据而闻名。

广告软件的初始安装过程看似无害，但安装后，用户会遇到一个欺骗性的弹出消息，提示他们更新 Safari 网络浏览器。单击“确定”后，用户会收到另一个弹出窗口，要求输入帐户凭据。这无意中授予了广告软件操纵 Safari 浏览器的权限。

此外，恶意安装程序会利用“bash 脚本”连接到远程服务器并下载 .zip 存档，然后从该存档中提取 .plist 文件并将其复制到 LaunchDaemons 目录。此 .plist 文件引用另一个名为“Titanium.Web.Proxy.Examples.Basic.Standard”的文件。随后，在下次重新启动后会执行另外两个脚本（“change_proxy.sh”和“trush_cert.sh”）。“change_proxy.sh”脚本会更改系统代理设置以在“localhost:8003”处使用 HTTP/S 代理，而“trush_cert.sh”脚本会将受信任的 SSL 证书安装到钥匙串中。

造成此次感染的网络犯罪分子利用 Titanium Web Proxy，这是一种用 C Sharp (C#) 编写的开源异步 HTTP(S) 代理。它是一种跨平台代理，能够在包括 MacOS 在内的各种操作系统上运行。

代理病毒如何工作？

这种感染的主要目的是劫持搜索引擎，使网络犯罪分子能够操纵互联网搜索结果。虽然使用代理来达到此目的并不常见，但网络犯罪分子通常会通过浏览器劫持应用程序修改浏览器设置，将用户重定向到特定的 URL，这些 URL 通常类似于 Bing、Yahoo 或 Google 等合法搜索引擎。然而，这些假冒搜索引擎可能会产生导致恶意网站的结果，这可以通过不断重定向到可疑网站来证明。

代理病毒在确保可靠性的同时，使网络犯罪活动变得复杂。通过篡改合法搜索引擎内容来提供虚假搜索结果，即使使用 Google 等真实搜索引擎，也会向用户提供欺骗性结果。

这种欺骗手段不仅会降低浏览体验，而且还会带来重大风险，可能导致进一步的计算机感染并增加某些网站的流量，从而通过广告增加收入。

代理病毒的存在会严重影响浏览体验，并可能导致进一步的计算机感染。广告软件类型的应用程序因投放广告而臭名昭著，点击广告后，会将用户重定向到恶意网站或触发下载/安装其他不需要的应用程序。这些广告通常覆盖在网站内容上，进一步降低了浏览体验。

此外，广告软件类型的应用程序会秘密收集敏感的用户信息，包括 IP 地址、访问过的网站 URL、搜索查询等，网络犯罪分子可能会利用这些信息通过滥用私人数据来获取金钱利益。