06.22 自產自銷的改主頁木馬,360出馬片甲不留

惡意篡改瀏覽器主頁驅動的木馬病毒我們已經見多了,他們大多隱藏在各種破解軟件或遊戲外掛中等待用戶上鉤,但這次我們發現並查殺的病毒竟通過冒充瀏覽器騙取用戶下載安裝,然後再釋放惡意驅動篡改用戶主頁,這種自產自銷的作案方式雖然別出心裁,但也著實卑鄙。針對此種木馬病毒,360安全衛士已經可以全面查殺。

木馬行為分析

木馬偽裝的瀏覽器安裝包的下載頁面為:

自產自銷的改主頁木馬,360出馬片甲不留

下載後文件的詳細信息:

自產自銷的改主頁木馬,360出馬片甲不留

用戶下載安裝包運行後會釋放一個20180606.exe的文件。

自產自銷的改主頁木馬,360出馬片甲不留

木馬入口點,解密驅動文件數據,區分用戶系統是32位還是64位,然後在系統中寫入驅動。

自產自銷的改主頁木馬,360出馬片甲不留

創建服務:

自產自銷的改主頁木馬,360出馬片甲不留

開啟篡改主頁驅動的服務:

自產自銷的改主頁木馬,360出馬片甲不留

以上過程完成後,木馬會成功篡改用戶瀏覽器主頁牟利。

360安全衛士已支持全面查殺

自產自銷的改主頁木馬,360出馬片甲不留

目前針對這類木馬病毒,360安全衛士已經可以對用戶電腦做到全方位保護,但研究員建議用戶,在下載和升級軟件時儘量使用有安全保障的軟件管家

,很多網絡下載站都會存在木馬病毒等安全風險,其次用戶也要注意,不要被一些木馬彈出的提示所矇騙而退出殺軟的安全防護,一旦殺軟跳出安全預警要立即清理查殺。

自產自銷的改主頁木馬,360出馬片甲不留

安全防護三級甲(360安全衛士)下載地址:http://down.360safe.com/inst.exe


分享到:


相關文章: