下載站的高速下載器一直是惡意木馬大規(guī)模傳播的溫床。近日,騰訊電腦管家攔截到了一個(gè)通過高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”,其通過知名刷機(jī)軟件——“甜椒刷機(jī)”、“奇兔刷機(jī)”、“綠豆刷機(jī)”感染電腦VBR(卷引導(dǎo)記錄),感染后使電腦淪為肉雞,具有篡改瀏覽器主頁、劫持導(dǎo)航網(wǎng)站、后臺刷流量等惡意行為特點(diǎn),即使用戶重裝系統(tǒng),也無法清除。目前,騰訊電腦管家已在第一時(shí)間查殺“異鬼Ⅱ”木馬,建議用戶及時(shí)處理。
多數(shù)殺軟“放行” 可遠(yuǎn)程執(zhí)行多種惡意行為
據(jù)騰訊安適反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn),“異鬼Ⅱ”木馬通過國內(nèi)幾大知名下載站的高速下載器推廣,而且能夠兼容Xp、Win7、Win10 等主流操作系統(tǒng),影響范圍巨大。
值得關(guān)注的是,此次“異鬼Ⅱ”木馬之所以能大范圍傳播并非偶然。據(jù)騰訊安適反病毒實(shí)驗(yàn)室安適專家介紹,一方面是因?yàn)閂BR主要負(fù)責(zé)用戶電腦操作系統(tǒng)引導(dǎo)程序的加載,比Windows操作系統(tǒng)更早啟動,一旦VBR被感染,殺毒軟件將很難檢測出來;另一方面由于此次“異鬼Ⅱ”木馬為正規(guī)軟件公司所開發(fā),并具有官方的數(shù)字簽名,,不少安適廠商將其加入意味著安適的“白名單”中,大多數(shù)殺毒軟件無法檢測到該病毒木馬的存在。
(“異鬼Ⅱ”木馬感染過程)
而比擬于“異鬼Ⅱ”躲避殺軟的狡猾手段,其帶來的安適威脅更是不容忽視。據(jù)悉,“異鬼Ⅱ”的作案過程通過云端控制,較為靈活。一旦用戶感染“異鬼Ⅱ”,病毒作者就可遠(yuǎn)程執(zhí)行篡改瀏覽器主頁、劫持導(dǎo)航網(wǎng)站、后臺刷流量等惡意行為。
重裝系統(tǒng)仍無法清除 近年來屢次作案
差別于其他的病毒木馬,用戶可以通過重裝系統(tǒng)來消滅隱患,“異鬼Ⅱ”木馬的隱蔽性和頑固性極強(qiáng)。騰訊安適反病毒實(shí)驗(yàn)室安適專家指出,“異鬼Ⅱ”木馬通過感染VBR長期駐留在系統(tǒng)中,普通的重裝系統(tǒng)無法清除木馬,同時(shí)還通過底層磁盤鉤子守護(hù)惡意VBR,對抗殺軟查殺。
事實(shí)上,感染MBR(主引導(dǎo)記錄)或者VBR的Bootkit木馬近年來一直處于高度活躍狀態(tài)。據(jù)騰訊安適反病毒實(shí)驗(yàn)室安適專家介紹,異鬼木馬最早發(fā)現(xiàn)于 2016 年 8 月,初代“異鬼”木馬通過Ghost裝機(jī)以及游戲外掛等渠道傳播,成功感染電腦后,會執(zhí)行劫持用戶瀏覽器主頁和推廣安置流氓軟件等惡意行為。除此之外,剛剛過去的傳播量級逾百萬的暗云系列木馬也應(yīng)用了Bootkit技術(shù)。
騰訊電腦管家“云主防+三白”徹底查殺“異鬼Ⅱ”木馬
經(jīng)過驗(yàn)證,
目前騰訊電腦管家已經(jīng)可以實(shí)現(xiàn)對“異鬼Ⅱ”木馬的徹底查殺。據(jù)了解,騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中,就加強(qiáng)了對Bootkit木馬的查殺能力,云主防及病毒木馬查殺"三白"——BootClean清除技術(shù)、Rootkit通殺、系統(tǒng)急救箱的查殺能力顯著提升,可以實(shí)現(xiàn)對病毒樣本高危行為的精準(zhǔn)攔截及查殺。
騰訊安適反病毒實(shí)驗(yàn)室安適專家馬勁松建議廣大用戶,由于該木馬文件有數(shù)字簽名,且被大多數(shù)安適軟件默認(rèn)為信任,因此多數(shù)安適廠商還無法查殺該木馬,目前騰訊電腦管家已經(jīng)能夠查殺該VBR木馬,發(fā)現(xiàn)電腦有異常的用戶可下載騰訊電腦管家進(jìn)行清理;除此之外,盡量通過官方渠道下載軟件,不要通過下載站下載軟件,如果必然要用到高速下載器,安置時(shí)記得去掉不需要的保舉軟件,并注意連結(jié)騰訊電腦管家的開啟,保障電腦安適。