新型Rootkit病毒“幽灵巴士”来袭,腾讯电脑管家精准查杀
近日,腾讯御见威胁情报中心监控到恶性锁主页Rootkit病毒通过网络盗版Ghost系统渠道传播,用户一旦中招,浏览器主页将会被篡改为带有推广渠道ID的导航网站,为病毒作者赚“黑钱”。同时该病毒还极有可能转变为挖矿、勒索等更危险的行为。目前,腾讯电脑管家已拦截并查杀该病毒。
(图:腾讯电脑管家查杀该病毒)
据腾讯电脑管家安全专家分析发现,Rootkit病毒在用户新装系统运行后,先通过检测用户浏览器主页,寻找国内常见导航站点进行主页劫持替换,然后统一跳转到带有推广ID的指定导航站点。目前,该病毒可劫持包括Chrome、Firefox、IE浏览器等17款主流浏览器,及数十个网址导航站。同时,该病毒通过伪装成一个正常的系统驱动,将自身驱动对应的设备对象注册为UsbBus,伪装性极强,基于此,腾讯电脑管家将其命名为“幽灵巴士”。
另外, Rootkit病毒还具有移除另一个同类锁主页病毒驱动模块的能力,Rootkit病毒通过“黑吃黑”铲除竞争对手,“霸占”用户浏览器主页,企图达到独占系统资源的目的,即便是前不久腾讯威胁情报中心检测出技术含量颇高的“独狼”病毒也无法幸免。同时,该病毒采用Rootkit技术,具备系统底层权限,技术含量较高,导致普通杀毒软件难以发现和查杀。
经腾讯御见威胁情报平台统计分析,Rootkit病毒在6月中旬开始规模性投放,进一步查询病毒上报信息域名可知,病毒目前活跃度依然有间歇性持续上涨趋势。病毒感染地区中,以山东,广东,江苏最为严重,分别占比15.32%,12.29%,7.07%,其它地区均有不同程度的感染。
(图:病毒整体感染态势)
发展至今已20年的盗版Ghost系统是软件盗版行业的一门“大生意”。国内多个软件盗版组织会在Ghost的基础上对易用性做改进,制作出品牌繁多的各类Ghost系统盘,其中部分盗版Ghost系统组织为了谋求收益,会在系统中植入病毒木马来进行主页劫持、挖矿、流氓捆绑、流氓弹窗等恶意行为,给系统使用者带来了极大的安全隐患。
不过,随着中国保护知识产权的不断进步,中国电脑市场品牌机预装正版操作系统的比例已接近100%,盗版系统目前主要存在于为数不多的DIY市场,以及重装系统的需求。对此,腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全技术专家马劲松建议广大网民在系统出现问题需要重装时;尽量选择品牌机的专业售后服务部门;尽量使用正版系统,不要轻信小型论坛、网盘或者直接搜索得到的陌生文件。同时,网民需要养成良好的日常上网习惯,推荐使用腾讯电脑管家等安全类软件,并始终保持运行状态,可有效防止用户电脑被木马入侵。