近日AVG中国病毒实验室截获一个名为“百度文库免积分4.0”的恶意软件，将会使用户在不知不觉中被利用，从而成为刷广告流量的工具。

如下图所示，该文件为一个自解压缩包，里面包含几个文件：

可以看到解压后运行压缩包内部的“百度文库免积分.exe”。该文件是一个正常的小工具。

运行截图如下：

真正的恶意行为出现在用户第二次运行这个工具的时候，解压出的update.exe会自动执行。update.exe同样是一个自解压包。

可以看到update.exe会释放出上面的文件并且自动执行webLoadpid.exe。

webLoadpid.exe是一个用.net编写的程序。

从网上获取两个数据，分别写入config.txt, config2.txt中，然后启动 update.exe /codebase msreg.dll.

Update.exe 会加载msreg.dll，运行Register方法，注册msreg.dll为浏览器扩展。

而msreg.dll则是一个广告点击器，每当用户浏览淘宝，天猫, 京东，凡客等网站时，就会转向指定的推广链接，让用户的机器为自己刷广告流量。

值得一提的是，该恶意程序第一次运行并不会执行update.exe，因此第一次执行该程序，恶意行为不会触发，这也为木马程序提供了一定的隐蔽性。AVG已将此程序检测为Clicker.BAVO

AVG杀毒永久免费版2013具有多层保护技术，能够阻止不安全的链接和文件，此外，AVG杀毒的免费版本还能够预防数据丢失，并让您的电脑运行更快速。目前可在AVG官方网站下载。

此次AVG的病毒截获提醒广大用户，免费软件暗藏广告刷钱器，请谨慎运行陌生工具。