惡意篡改瀏覽器主頁驅動的木馬病毒我們已經見多了,他們大多隱藏在各種破解軟件或遊戲外掛中等待用戶上鉤,但這次我們發現並查殺的病毒竟通過冒充瀏覽器騙取用戶下載安裝,然後再釋放惡意驅動篡改用戶主頁,這種自產自銷的作案方式雖然別出心裁,但也著實卑鄙。針對此種木馬病毒,360安全衛士已經可以全面查殺。
木馬行為分析
木馬偽裝的瀏覽器安裝包的下載頁面為:
![自產自銷的改主頁木馬,360出馬片甲不留](http://p2.ttnews.xyz/loading.gif)
下載後文件的詳細信息:
![自產自銷的改主頁木馬,360出馬片甲不留](http://p2.ttnews.xyz/loading.gif)
用戶下載安裝包運行後會釋放一個20180606.exe的文件。
木馬入口點,解密驅動文件數據,區分用戶系統是32位還是64位,然後在系統中寫入驅動。
創建服務:
開啟篡改主頁驅動的服務:
以上過程完成後,木馬會成功篡改用戶瀏覽器主頁牟利。
360安全衛士已支持全面查殺
目前針對這類木馬病毒,360安全衛士已經可以對用戶電腦做到全方位保護,但研究員建議用戶,在下載和升級軟件時儘量使用有安全保障的軟件管家 ,很多網絡下載站都會存在木馬病毒等安全風險,其次用戶也要注意,不要被一些木馬彈出的提示所矇騙而退出殺軟的安全防護,一旦殺軟跳出安全預警要立即清理查殺。
安全防護三級甲(360安全衛士)下載地址:http://down.360safe.com/inst.exe
閱讀更多 360安全衛士 的文章