Win7Ghost SP1盜版內(nèi)置木馬的危害
以下是OMG小編為大家收集整理的文章,希望對大家有所幫助。
5月23日,360安全中心發(fā)布木馬警報稱,一個名為“win7 Ghost SP1裝機(jī)旗艦版”的盜版系統(tǒng)內(nèi)置木馬驅(qū)動(intelk36.sys),其感染量從今年4月開始不斷上升,最近已達(dá)每天上萬臺電腦中招,很可能與windows XP停止服務(wù)后部分XP電腦重裝系統(tǒng)有關(guān)。此寄生在盜版Win7中的惡意程序也被命名為“瘟七”木馬。
裝入“瘟七”木馬的電腦系統(tǒng),瀏覽器主頁和淘寶等知名購物網(wǎng)站就會被木馬劫持。具體中招現(xiàn)象包括:瀏覽器明明訪問的是taobao.com,網(wǎng)址后卻自動多出“pid=mm**”一串字符;上網(wǎng)主頁設(shè)置的是hao123或360網(wǎng)址導(dǎo)航,卻自動跳轉(zhuǎn)到一個陌生的導(dǎo)航網(wǎng)站。
360反病毒工程師介紹說,“瘟七”木馬裝機(jī)系統(tǒng)早在2013年就已出現(xiàn),內(nèi)置的木馬驅(qū)動程序也在聯(lián)網(wǎng)升級,intelk36.sys就是其最新變種。該木馬通過注入瀏覽器劫持網(wǎng)絡(luò)數(shù)據(jù),由于木馬的暴力攻擊,部分瀏覽器會出現(xiàn)“文件被破壞,不是原版文件”的彈框提示,如遇到類似提示信息,則意味著電腦已經(jīng)中招。
1、瀏覽器遭破壞是系統(tǒng)感染“瘟七”木馬的中招現(xiàn)象之一
經(jīng)分析,“瘟七”木馬驅(qū)動深入系統(tǒng)底層,能夠在電腦開機(jī)時搶先運(yùn)行。它采用了掛鉤Windows文件系統(tǒng)的“隱形”手段,絕大多數(shù)殺毒軟件無法檢測到木馬的存在。如果電腦出現(xiàn)訪問A網(wǎng)址卻打開B網(wǎng)址,或是瀏覽器遭破壞的情況,應(yīng)使用360系統(tǒng)急救箱“強(qiáng)力模式”進(jìn)行查殺。(在帶毒環(huán)境中,如果發(fā)現(xiàn)急救箱無法運(yùn)行,請先將急救箱的SuperKiller.exe改名再運(yùn)行)
2、360系統(tǒng)急救箱查殺盜版Win7內(nèi)置的“瘟七”木馬
另據(jù)360安全中心監(jiān)測,內(nèi)置木馬的盜版Win7打著某知名裝機(jī)系統(tǒng)的旗號,在各大搜索引擎的搜索指數(shù)長期居高不下,再加上近期XP停服事件沸沸揚(yáng)揚(yáng),部分XP用戶謀求升級到使用習(xí)慣更貼近XP的Win7,而正版Win7去年已經(jīng)停售,這也使得盜版Win7成為木馬病毒寄生傳播的溫床