下載站的高速下載器一直是惡意木馬大規(guī)模傳播的溫床。近日,騰訊電腦管家攔截到了一個(gè)通過(guò)高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”,其通過(guò)知名刷機(jī)軟件——“甜椒刷機(jī)”、“奇兔刷機(jī)”、“綠豆刷機(jī)”感染電腦VBR(卷引導(dǎo)記錄),感染后使電腦淪為肉雞,具有篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站、后臺(tái)刷流量等惡意行為特點(diǎn),即使用戶重裝系統(tǒng),也無(wú)法清除。目前,騰訊電腦管家已在第一時(shí)間查殺“異鬼Ⅱ”木馬,建議用戶及時(shí)處理。
多數(shù)殺軟“放行” 可遠(yuǎn)程執(zhí)行多種惡意行為
據(jù)騰訊安適反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn),“異鬼Ⅱ”木馬通過(guò)國(guó)內(nèi)幾大知名下載站的高速下載器推廣,而且能夠兼容Xp、Win7、Win10 等主流操作系統(tǒng),影響范圍巨大。
值得關(guān)注的是,此次“異鬼Ⅱ”木馬之所以能大范圍傳播并非偶然。據(jù)騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家介紹,一方面是因?yàn)閂BR主要負(fù)責(zé)用戶電腦操作系統(tǒng)引導(dǎo)程序的加載,比Windows操作系統(tǒng)更早啟動(dòng),一旦VBR被感染,殺毒軟件將很難檢測(cè)出來(lái);另一方面由于此次“異鬼Ⅱ”木馬為正規(guī)軟件公司所開(kāi)發(fā),并具有官方的數(shù)字簽名,,不少安適廠商將其加入意味著安適的“白名單”中,大多數(shù)殺毒軟件無(wú)法檢測(cè)到該病毒木馬的存在。
(“異鬼Ⅱ”木馬感染過(guò)程)
而比擬于“異鬼Ⅱ”躲避殺軟的狡猾手段,其帶來(lái)的安適威脅更是不容忽視。據(jù)悉,“異鬼Ⅱ”的作案過(guò)程通過(guò)云端控制,較為靈活。一旦用戶感染“異鬼Ⅱ”,病毒作者就可遠(yuǎn)程執(zhí)行篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站、后臺(tái)刷流量等惡意行為。
重裝系統(tǒng)仍無(wú)法清除 近年來(lái)屢次作案
差別于其他的病毒木馬,用戶可以通過(guò)重裝系統(tǒng)來(lái)消滅隱患,“異鬼Ⅱ”木馬的隱蔽性和頑固性極強(qiáng)。騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家指出,“異鬼Ⅱ”木馬通過(guò)感染VBR長(zhǎng)期駐留在系統(tǒng)中,普通的重裝系統(tǒng)無(wú)法清除木馬,同時(shí)還通過(guò)底層磁盤(pán)鉤子守護(hù)惡意VBR,對(duì)抗殺軟查殺。
事實(shí)上,感染MBR(主引導(dǎo)記錄)或者VBR的Bootkit木馬近年來(lái)一直處于高度活躍狀態(tài)。據(jù)騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家介紹,異鬼木馬最早發(fā)現(xiàn)于 2016 年 8 月,初代“異鬼”木馬通過(guò)Ghost裝機(jī)以及游戲外掛等渠道傳播,成功感染電腦后,會(huì)執(zhí)行劫持用戶瀏覽器主頁(yè)和推廣安置流氓軟件等惡意行為。除此之外,剛剛過(guò)去的傳播量級(jí)逾百萬(wàn)的暗云系列木馬也應(yīng)用了Bootkit技術(shù)。
騰訊電腦管家“云主防+三白”徹底查殺“異鬼Ⅱ”木馬
經(jīng)過(guò)驗(yàn)證,
目前騰訊電腦管家已經(jīng)可以實(shí)現(xiàn)對(duì)“異鬼Ⅱ”木馬的徹底查殺。據(jù)了解,騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中,就加強(qiáng)了對(duì)Bootkit木馬的查殺能力,云主防及病毒木馬查殺"三白"——BootClean清除技術(shù)、Rootkit通殺、系統(tǒng)急救箱的查殺能力顯著提升,可以實(shí)現(xiàn)對(duì)病毒樣本高危行為的精準(zhǔn)攔截及查殺。
騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家馬勁松建議廣大用戶,由于該木馬文件有數(shù)字簽名,且被大多數(shù)安適軟件默認(rèn)為信任,因此多數(shù)安適廠商還無(wú)法查殺該木馬,目前騰訊電腦管家已經(jīng)能夠查殺該VBR木馬,發(fā)現(xiàn)電腦有異常的用戶可下載騰訊電腦管家進(jìn)行清理;除此之外,盡量通過(guò)官方渠道下載軟件,不要通過(guò)下載站下載軟件,如果必然要用到高速下載器,安置時(shí)記得去掉不需要的保舉軟件,并注意連結(jié)騰訊電腦管家的開(kāi)啟,保障電腦安適。