互联网时代,浏览器是人们每天必备的上网工具,很多人的电脑里甚至会装上不止一种浏览器。超高的使用频率也使得浏览器具备超高的“利用价值”。最近,就有不法分子就将“作案”目标锁定浏览器,企图通过劫持浏览器主页来获取非法利润。
腾讯御见威胁情报中心在多个流行的Ghost系统中检测到一款名为Jomalone(“独狼”)的Rootkit后门木马,劫持23款主流浏览器主页牟利,并利用Rootkit木马特性与安全软件对抗。目前,腾讯电脑管家已全面拦截“独狼”Rootkit木马。
腾讯御见威胁情报中心监测发现,“独狼”系列Rootkit木马的传播渠道为盗版Ghost系统,主要获利方式为软件捆绑推广、主页劫持、广告弹窗。目前,在包括装机助理、系统之家等网民常用的网站下载的盗版Ghost系统中均已发现该Rootkit病毒。由于系统之家等网站访问量大,且这些网站还会购买搜索引擎关键字广告来获得流量,这些内置病毒的盗版Ghost系统下载链接的搜索结果明显靠前,受该病毒影响的用户也较广泛。
(盗版Ghost系统预埋病毒)
由于在盗版Ghost系统安装时Rootkit就潜伏在系统里了,可以抢占先机拦截阻止杀毒软件的查杀。同时,Rootkit后门木马具备系统底层权限,技术含量较高,可锁定多款浏览器主页,是公认查杀难度大的病毒类型。此次发现的“独狼”Rootkit会影响主流杀毒软件的正常运行,阻止杀毒软件加载驱动程序,直接导致杀毒软件防御功能失效,包括主流杀毒软件的工具箱功能也已无法使用。
盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装,通过向盗版Ghost系统中预装病毒,最终实现软件推广安装,劫持主页获利。获利之后再继续加大推广力度,形成一个完整的闭环产业链。
针对已经使用这些盗版Ghost安装系统,并导致杀毒软件功能异常的电脑环境,用户可以先在其他正常电脑下载并解压专杀工具,然后将解压版本复制到中毒电脑上运行查杀。由于病毒对抗,在中毒电脑直接解压会失败。
腾讯安全反病毒实验室专家马劲松提醒广大网民使用正版操作系统,市面上售卖的新电脑大多已预装了正版操作系统,网民无需再去通过盗版Ghost重装。尽量使用原版系统,若安装操作系统需要使用正规渠道。同时,网民需要养成良好的日常上网习惯,不轻易点击和下载安全性不明的链接和文件,并保持腾讯电脑管家等安全软件始终处于运行状态,可有效防止用户电脑被木马入侵。
