360安全中心接到用戶反饋,在下載使用某個網站的暴風激活軟件後,浏覽器主頁被強制劫持到2345導航站,無法修改回用戶需要的主頁,工程師在遠程用戶電腦後發現,用戶所下載的激活工具攜帶惡性Rootkit病毒,在用戶使用激活工具後,惡意驅動會将浏覽器主頁進行劫持,下面是簡要分析。
木馬分析
病毒作者在下載頁面彈出誘導用戶退出360安全衛士,360殺毒等主流殺毒軟件的提示,提示為"為防止殺毒軟件誤報誤殺,請務必先退出360安全衛士,360殺毒等殺毒軟件,再去下載激活",實則是為了躲避殺毒軟件的查殺。360安全中心提醒廣大用戶,切勿輕信此類虛假提示,在使用來源不明或為知安全性的軟件時,一定要先使用360安全衛士進行查殺,以防止被病毒木馬感染。下圖是攜帶病毒的激活工具下載頁面:
激活工具運行後會釋放惡意驅動,驅動信息如下:
下載的木馬和鎖定主頁相關的配置文件(desktop.ini):
配置文件内容,如下圖所示:
受影響的浏覽器列表如下:
惡意驅動會根據配置文件将用戶浏覽器主頁劫持到2345導航頁面:
安全建議
下載器,激活工具,綠色軟件是病毒傳播的主要途徑,病毒作者會使用各種誘騙手段欺騙用戶使用攜帶病毒的相關軟件,我們建議廣大用戶在使用此類未知安全性的軟件時,先使用殺毒軟件進行查殺,以防止電腦被病毒感染。
360安全衛士已支持此類木馬查殺,建議廣大用戶安裝使用:
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!