网络安全公司 ESET 昨日发布博文，报道称黑客组织 TheWizards 利用 IPv6 网络功能，诱导附近系统自动获取新的 IPv6 地址、DNS 服务器及默认网关。而这个网关实际上是“Spellbinder”工具的 IP 地址，让攻击者能拦截通信并将流量重定向至其控制的服务器。

　　“Spellbinder”通过名为“AVGApplicationFrameHostS.zip”的压缩文件传播，解压后伪装成合法软件目录“% PROGRAMFILES%\AVG Technologies”。其中包含恶意文件“wsc.dll”，借助合法工具“winpcap.exe”加载“Spellbinder”至内存。

　　感染后，该工具监控特定域名流量，尤其是腾讯、百度、迅雷、优酷、爱奇艺、金山、芒果 TV、风行、有道、小米、小米MIUI、PPLive、美图、奇虎 360 和暴风等中国软件更新服务器相关的域名。一旦发现连接请求，它会重定向下载恶意更新，安装后门程序“WizardNet”，让攻击者持续控制设备并安装更多恶意软件。