近日,一款通過高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”在我國大肆傳播,其通過隱藏在“甜椒刷機(jī)”、“奇兔刷機(jī)”、“綠豆刷機(jī)”等知名刷機(jī)軟件中造成大量用戶感染。騰訊電腦管家第一時間攔截該病毒,并向國際互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)提交病毒情況陳訴。 7 月 29 日,國際互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《關(guān)于異鬼Ⅱ
bootkit病毒有關(guān)情況的預(yù)警通報》提醒廣大用戶小心防范,并保舉使用騰訊電腦管家等安適工具查殺“異鬼Ⅱ”木馬。
“異鬼II”木馬技術(shù)復(fù)雜, 騰訊電腦管家率先查殺
早在 7 月 24 日,騰訊電腦管家率先監(jiān)測到“異鬼Ⅱ”木馬通過高速下載器大范圍傳播,而且能夠兼容XP、Win7、Win10 等主流操作系統(tǒng),影響范圍巨大。通過分析發(fā)現(xiàn),“異鬼Ⅱ”木馬隱藏在多款正規(guī)刷機(jī)軟件中,帶有官方數(shù)字簽名,并通過一系列復(fù)雜技術(shù)暗藏在用戶電腦中,具有靜默安置、云端控制、隱蔽性強(qiáng)、難以查殺等特點(diǎn)。該病毒通過修改VBR(卷引導(dǎo)記錄)長期駐留在系統(tǒng)中,并從云端下發(fā)功能模塊到受害者電腦執(zhí)行惡意行為,目前下發(fā)的模塊功能主要是篡改瀏覽器主頁、劫持導(dǎo)航網(wǎng)站、后臺刷流量等,具備互聯(lián)網(wǎng)黑產(chǎn)盈利特性。對此,騰訊電腦管家第一時間發(fā)布安適預(yù)警,并向CNCERT等主管部門遞送了技術(shù)分析陳訴,制止病毒進(jìn)一步擴(kuò)散。
CNCERT建議積極防范,騰訊電腦管家推專殺工具
按照“異鬼Ⅱ”木馬的傳播與感染特性,CNCERT建議用戶近期采取積極的安適防范辦法:
1、中毒檢測方法
a)檢查電腦以下目錄是否存在.wav文件
C:WindowsSystem32configsystemprofileAppDataLocalMicrosoftMedia
C:Users用戶名AppDataLocalMicrosoftMedia
b)檢查是否存在C:windwossystem32usbsapi.dll文件
c)檢查注冊表是否存在以下鍵值
{FC70EFDD-2741-495C-9A93-42408F6878D9}un
d)注冊表存在以下鍵值,說明已感染
HKEY_LOCAL_MACHINE SoftwareClassesCLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}ex 值:1
2、不要通過下載站下載軟件,如果必然要用到高速下載器,不要選擇安置綁縛不才載器中的軟件。
此外,CNCERT保舉用戶可通過騰訊電腦管家等安適工具查殺“異鬼Ⅱ”木馬。目前騰訊電腦管家已經(jīng)推出“異鬼Ⅱ”木馬專殺工具,,用戶可以及時下載運(yùn)行。(https://guanjia.qq.com)
據(jù)了解,騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中,就加強(qiáng)了對Bootkit木馬的查殺能力,云主防及病毒木馬查殺“三白”——BootClean清除技術(shù)、Rootkit通殺、系統(tǒng)急救箱的查殺能力顯著提升,可以實(shí)現(xiàn)對病毒樣本高危行為的精準(zhǔn)攔截及查殺。騰訊電腦管家提醒,發(fā)現(xiàn)電腦有異常的用戶可下載電腦管家進(jìn)行清理;除此之外,用戶應(yīng)盡量通過官方渠道下載軟件,不要通過下載站下載軟件,如果必然要用到高速下載器,安置時記得去掉不需要的保舉軟件,并注意連結(jié)騰訊電腦管家的開啟,保障電腦安適。