下載站的高速下載器一直是惡意木馬大規(guī)模傳播的溫床����。近日����,騰訊電腦管家攔截到了一個(gè)通過(guò)高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”,其通過(guò)知名刷機(jī)軟件——“甜椒刷機(jī)”����、“奇兔刷機(jī)”、“綠豆刷機(jī)”感染電腦VBR(卷引導(dǎo)記錄)���,感染后使電腦淪為肉雞�,具有篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站�、后臺(tái)刷流量等惡意行為特點(diǎn),即使用戶重裝系統(tǒng)�����,也無(wú)法清除�。目前,騰訊電腦管家已在第一時(shí)間查殺“異鬼Ⅱ”木馬��,建議用戶及時(shí)處理�����。
多數(shù)殺軟“放行” 可遠(yuǎn)程執(zhí)行多種惡意行為
據(jù)騰訊安適反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn)�����,“異鬼Ⅱ”木馬通過(guò)國(guó)內(nèi)幾大知名下載站的高速下載器推廣����,而且能夠兼容Xp����、Win7�、Win10 等主流操作系統(tǒng)��,影響范圍巨大�。
值得關(guān)注的是,此次“異鬼Ⅱ”木馬之所以能大范圍傳播并非偶然����。據(jù)騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家介紹,一方面是因?yàn)閂BR主要負(fù)責(zé)用戶電腦操作系統(tǒng)引導(dǎo)程序的加載����,比Windows操作系統(tǒng)更早啟動(dòng),一旦VBR被感染��,殺毒軟件將很難檢測(cè)出來(lái);另一方面由于此次“異鬼Ⅱ”木馬為正規(guī)軟件公司所開(kāi)發(fā)���,并具有官方的數(shù)字簽名���,,不少安適廠商將其加入意味著安適的“白名單”中���,大多數(shù)殺毒軟件無(wú)法檢測(cè)到該病毒木馬的存在���。
(“異鬼Ⅱ”木馬感染過(guò)程)
而比擬于“異鬼Ⅱ”躲避殺軟的狡猾手段�����,其帶來(lái)的安適威脅更是不容忽視����。據(jù)悉�����,“異鬼Ⅱ”的作案過(guò)程通過(guò)云端控制��,較為靈活��。一旦用戶感染“異鬼Ⅱ”����,病毒作者就可遠(yuǎn)程執(zhí)行篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站��、后臺(tái)刷流量等惡意行為�。
重裝系統(tǒng)仍無(wú)法清除 近年來(lái)屢次作案
差別于其他的病毒木馬�,用戶可以通過(guò)重裝系統(tǒng)來(lái)消滅隱患,“異鬼Ⅱ”木馬的隱蔽性和頑固性極強(qiáng)。騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家指出����,“異鬼Ⅱ”木馬通過(guò)感染VBR長(zhǎng)期駐留在系統(tǒng)中,普通的重裝系統(tǒng)無(wú)法清除木馬��,同時(shí)還通過(guò)底層磁盤(pán)鉤子守護(hù)惡意VBR����,對(duì)抗殺軟查殺。
事實(shí)上�,感染MBR(主引導(dǎo)記錄)或者VBR的Bootkit木馬近年來(lái)一直處于高度活躍狀態(tài)。據(jù)騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家介紹�,異鬼木馬最早發(fā)現(xiàn)于 2016 年 8 月,初代“異鬼”木馬通過(guò)Ghost裝機(jī)以及游戲外掛等渠道傳播����,成功感染電腦后,會(huì)執(zhí)行劫持用戶瀏覽器主頁(yè)和推廣安置流氓軟件等惡意行為����。除此之外,剛剛過(guò)去的傳播量級(jí)逾百萬(wàn)的暗云系列木馬也應(yīng)用了Bootkit技術(shù)�����。
騰訊電腦管家“云主防+三白”徹底查殺“異鬼Ⅱ”木馬
經(jīng)過(guò)驗(yàn)證,
目前騰訊電腦管家已經(jīng)可以實(shí)現(xiàn)對(duì)“異鬼Ⅱ”木馬的徹底查殺��。據(jù)了解�����,騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中����,就加強(qiáng)了對(duì)Bootkit木馬的查殺能力,云主防及病毒木馬查殺"三白"——BootClean清除技術(shù)�����、Rootkit通殺�����、系統(tǒng)急救箱的查殺能力顯著提升�����,可以實(shí)現(xiàn)對(duì)病毒樣本高危行為的精準(zhǔn)攔截及查殺�。
騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家馬勁松建議廣大用戶,由于該木馬文件有數(shù)字簽名���,且被大多數(shù)安適軟件默認(rèn)為信任�,因此多數(shù)安適廠商還無(wú)法查殺該木馬��,目前騰訊電腦管家已經(jīng)能夠查殺該VBR木馬����,發(fā)現(xiàn)電腦有異常的用戶可下載騰訊電腦管家進(jìn)行清理;除此之外,盡量通過(guò)官方渠道下載軟件����,不要通過(guò)下載站下載軟件,如果必然要用到高速下載器��,安置時(shí)記得去掉不需要的保舉軟件���,并注意連結(jié)騰訊電腦管家的開(kāi)啟�,保障電腦安適��。
