来自卡巴斯基实验室的安全研究员Anton V. Ivanov在本周二（6月26日）发表的博文中介绍说，他们在一年多以前发现了PBot（PythonBot）恶意广告软件的第一个版本。之所以将它这样命名，是因为它的核心模块是采用Python编写的。

从那以后，陆续出现的所有版本在程序上都进行了一定程度的修改，其中一个版本似乎已经超越了“广告软件”的范畴，因为它会在受感染计算机上安装一个加密货币矿工。

Ivanov指出，他们检测到的另外PBot版本仅限于在受害者访问的网页上播放并不期望看到的广告。另外，它们最初都试图向浏览器注入恶意的DLL。不同的是，第一个版本通过运行JS脚本在网页上显示广告，而第二个版本并没有这样做，它选择了在浏览器中安装广告扩展。

PBot的开发人员显然对后者更感兴趣，他们不断在它的基础上进行修改，以发布新的变种，并且对每个变种都进行了混淆处理。基于第二个版本的Pbot变种的另一个独特之处在于，它提供了一个模块，可用于更新脚本并下载新的浏览器扩展。

在今年4月，卡巴斯基实验室的研究人员注意到，在其产品用户的计算机上有超过5万个安装PBot的尝试。并且这个数字仍在增加，说明这个广告软件仍在被不断的分发。其中，受感染最严重的是俄罗斯、乌克兰和哈萨克斯坦。

作为恶意广告软件来说，PBot的目的是通过显示广告来将用户重定向到其赞助商的网站，进而为其开发人员带来收益。相对来说，这是一种比较老旧的赚钱方式，并且这需要从浏览器供应商不断改进的广告拦截技术中求取生存。

此外，PBot的开发人员似乎也对现有的收益并不是很满意。加密货币的热潮的确吸引了足够多的目光，不仅仅是投资者，还有网络犯罪分子。上述中提到的加密货币矿工被证实能够挖掘比特币和莱特币，毫无意外，PBot的开发人员看来也想在加密货币挖矿的行业中占据一席之地。

最后，值得提出的是，无论是哪个版本的PBot，它针对的是运行Windows计算机。鉴于Windows的普遍性，我们建议广大计算机用户应保持使用防病毒产品的好习惯，以避免遭受此类恶意软件的侵害。