下載站的高速下載器一直是惡意木馬大規(guī)模傳播的溫床���。近日����,騰訊電腦管家攔截到了一個通過高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”,其通過知名刷機軟件——“甜椒刷機”��、“奇兔刷機”��、“綠豆刷機”感染電腦VBR(卷引導(dǎo)記錄)�����,感染后使電腦淪為肉雞��,具有篡改瀏覽器主頁���、劫持導(dǎo)航網(wǎng)站����、后臺刷流量等惡意行為特點�����,即使用戶重裝系統(tǒng)���,也無法清除��。目前����,騰訊電腦管家已在第一時間查殺“異鬼Ⅱ”木馬,建議用戶及時處理�����。
多數(shù)殺軟“放行” 可遠程執(zhí)行多種惡意行為
據(jù)騰訊安適反病毒實驗室研究發(fā)現(xiàn)�,“異鬼Ⅱ”木馬通過國內(nèi)幾大知名下載站的高速下載器推廣�,而且能夠兼容Xp、Win7���、Win10 等主流操作系統(tǒng)�����,影響范圍巨大�。
值得關(guān)注的是��,此次“異鬼Ⅱ”木馬之所以能大范圍傳播并非偶然����。據(jù)騰訊安適反病毒實驗室安適專家介紹,一方面是因為VBR主要負責(zé)用戶電腦操作系統(tǒng)引導(dǎo)程序的加載����,比Windows操作系統(tǒng)更早啟動�����,一旦VBR被感染����,殺毒軟件將很難檢測出來;另一方面由于此次“異鬼Ⅱ”木馬為正規(guī)軟件公司所開發(fā)����,并具有官方的數(shù)字簽名,����,不少安適廠商將其加入意味著安適的“白名單”中,大多數(shù)殺毒軟件無法檢測到該病毒木馬的存在��。
(“異鬼Ⅱ”木馬感染過程)
而比擬于“異鬼Ⅱ”躲避殺軟的狡猾手段��,其帶來的安適威脅更是不容忽視����。據(jù)悉,“異鬼Ⅱ”的作案過程通過云端控制,較為靈活���。一旦用戶感染“異鬼Ⅱ”��,病毒作者就可遠程執(zhí)行篡改瀏覽器主頁���、劫持導(dǎo)航網(wǎng)站、后臺刷流量等惡意行為���。
重裝系統(tǒng)仍無法清除 近年來屢次作案
差別于其他的病毒木馬�,用戶可以通過重裝系統(tǒng)來消滅隱患�����,“異鬼Ⅱ”木馬的隱蔽性和頑固性極強����。騰訊安適反病毒實驗室安適專家指出�,“異鬼Ⅱ”木馬通過感染VBR長期駐留在系統(tǒng)中,普通的重裝系統(tǒng)無法清除木馬���,同時還通過底層磁盤鉤子守護惡意VBR�����,對抗殺軟查殺���。
事實上���,感染MBR(主引導(dǎo)記錄)或者VBR的Bootkit木馬近年來一直處于高度活躍狀態(tài)。據(jù)騰訊安適反病毒實驗室安適專家介紹����,異鬼木馬最早發(fā)現(xiàn)于 2016 年 8 月,初代“異鬼”木馬通過Ghost裝機以及游戲外掛等渠道傳播�����,成功感染電腦后����,會執(zhí)行劫持用戶瀏覽器主頁和推廣安置流氓軟件等惡意行為。除此之外�,剛剛過去的傳播量級逾百萬的暗云系列木馬也應(yīng)用了Bootkit技術(shù)。
騰訊電腦管家“云主防+三白”徹底查殺“異鬼Ⅱ”木馬
經(jīng)過驗證����,
目前騰訊電腦管家已經(jīng)可以實現(xiàn)對“異鬼Ⅱ”木馬的徹底查殺。據(jù)了解,騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中���,就加強了對Bootkit木馬的查殺能力�����,云主防及病毒木馬查殺"三白"——BootClean清除技術(shù)��、Rootkit通殺����、系統(tǒng)急救箱的查殺能力顯著提升��,可以實現(xiàn)對病毒樣本高危行為的精準攔截及查殺�����。
騰訊安適反病毒實驗室安適專家馬勁松建議廣大用戶����,由于該木馬文件有數(shù)字簽名�����,且被大多數(shù)安適軟件默認為信任,因此多數(shù)安適廠商還無法查殺該木馬����,目前騰訊電腦管家已經(jīng)能夠查殺該VBR木馬,發(fā)現(xiàn)電腦有異常的用戶可下載騰訊電腦管家進行清理;除此之外����,盡量通過官方渠道下載軟件,不要通過下載站下載軟件����,如果必然要用到高速下載器,安置時記得去掉不需要的保舉軟件�,并注意連結(jié)騰訊電腦管家的開啟,保障電腦安適�����。
