概述

  近日瑞星威胁情报平台捕获到一款名为PDFClick的流氓软件，该软件为魔改的PyInstaller打包的EXE文件，其运行行为具有明显的条件判断逻辑：若检测到系统已安装Chrome浏览器，则自动下载更新程序并添加计划任务以实现持久化驻留；若未检测到Chrome浏览器，则跳过下载步骤。更新程序会进一步判断当前进程是否在64位模式下运行，并通过多种方式加载从服务端回传的加密数据。

  值得注意的是，该软件官网宣称其功能为“本地处理所有文件”，但通过技术分析发现，其实际文件处理逻辑为将用户文件上传至远程服务器进行处理，这一行为与官网描述存在显著矛盾，表明其可能存在数据泄露或恶意操作风险。