根据“火绒威胁情报系统”监测，火绒安全团队发现一款名为“流星加速器”的软件，正通过各大下载站下载器进行静默推广传播，且携带恶意代理模块和后门模块。用户运行该软件后，就会激活这些病毒模块。病毒可以控制用户电脑，执行任意命令。

　　由于“流星加速器”用户数量较多，致使病毒影响的范围较大，目前已感染上百万用户，且感染量还在以单日超过10万的数量增长，请广大用户小心防范。火绒安全软件最新版可及时拦截、查杀上述病毒模块，且不会损坏软件的正常功能，请用户放心使用。

　　根据火绒工程师分析，“流星加速器”运行后会释放两个病毒模块，其中一个具备恶意代理功能，可控制用户电脑作为流量跳板;另一个模块具备后门功能，可执行任意远程指令，危害严重。此外，当用户卸载“流星加速器”后，上述病毒模块会依旧驻留用户电脑中，继续作恶。

　　通过进一步溯源调查，火绒工程师发现“流星加速器”所属公司旗下存在大量与数据爬虫采集、流量代理加速等相关产品。据此，不排除该企业利用上述病毒，控制用户电脑并投入商业使用，从而获得盈利的可能。

　　当流星加速器被下载器静默推广安装之后，便会在安装目录释放恶意代理模块LocalNetwork.exe与后门模块SecurityGuard.exe。释放完成后天行vpn 免费.apk1，LXInstall.exe将创建C:\Program Files\Microsoft App文件夹并将LocalNetwork.exe移动到其中，随后启动LocalNetworkFlowService服务。同时LXInstall.exe会将SecurityGuard.exe移动到C:\Windows目录下并启动执行。相关动作如下图所示：

　　当得到代理通信服务器地址之后，LocalNetwork.exe便会与之连接，获取所需的代理策略。之后，LocalNetwork.exe根据下放的代理策略访问目标网页，若访问成功，则返回目标网页相关信息。详细的通信流程，如下图所示：

　　此外，我们还发现流星加速器主程序(liuxing.exe)会创建线秒就会检测LocalNetwork.exe进程是否存在，如果不存在，则会执行其软件安装目录下的LocalNetwork.exe。由于当前版本的流星加速器所释放的LocalNetwork.exe恶意代理模块已经不在其软件安装目录中，上述执行逻辑已经失效，我们会对其主程序模块的更新进行持续追踪。相关逻辑，如下图所示：

　　此外，我们根据恶意模块的签名信息“江苏灵匠信息科技有限公司”发现其旗下存在大量与数据爬虫采集，流量代理加速等有关产品，相关信息如下图所示：

　　仅以芝麻代理为例，今日活跃的代理IP数量为200万左右与我们在火绒终端威胁情报系统中所监测到的该病毒感染数量较为相近，官网页面如下图所示：