病毒“独狼2”借盗版Ghost镜像文件传播 已感染上万台电脑
2018-08-17 11:25:04   来源：《网络世界》报社   评论：0 点击：

　　经腾讯智慧安全御见威胁情报中心检测发现，Ghost镜像文件内含后门木马病毒，劫持包括谷歌、火狐等在内的23款主流浏览器主页，并且能够干扰主流杀毒软件的正常运行。截止目前，该木马病毒已感染上万台电脑。自进入8月以来，“独狼２”病毒呈爆发态势，主要集中广东、江苏以及四川等地。

　　（图：该病毒劫持的浏览器页面）

　　安全专家介绍，该病毒属于Rootkit系列，名为“独狼”，最近一次出现在今年六月份，并持续活跃至今。由于在安装盗版Ghost系统时就潜伏其中，Rootkit病毒家族可轻易获取系统底层权限，阻截杀毒软件的查杀，并随时在用户机器上执行任意代码操作。

　　从年初出现的“双枪2”到6月爆发的“独狼”病毒，Rootkit家族依靠隐蔽性强、反复感染、难以查杀的特点，给用户带来了极大的困扰。

　　变种后的“独狼”Rootkit家族更加变本加厉，除了Ghost渠道传播，还增加了假冒系统激活工具传播，并且其模块功能得到了进一步的完善，增加自更新功能和后门功能的同时，使用的明文字符串均进行了自定义加密。鉴于此，腾讯智慧安全御见威胁情报中心将此次发现的“独狼”变种命名为“独狼２”病毒。

　　经分析，“独狼２”母体为某激活工具，在搜索引擎结果页中购买了排名第一的广告位，以此获得了庞大的用户下载量。当用户访问激活工具的下载站点，可发现多个品牌的激活工具供其下载，看似功能强大，实际上所有品牌的激活工具下载链接均为同一地址，下载到的文件均为由易语言编写的Dropper木马，启动后会释放出极具迷惑性的病毒文件，干扰用户视线。

　　（图：“独狼”病毒植入的激活工具官网首页）

　　腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松介绍，此类病毒木马主要隐藏在Windows盗版激活工具中，诱导和欺骗用户关闭杀毒软件后运行，而这次传播病毒的激活工具竟没有激活Windows的功能。

　　（图：腾讯电脑管家管家急救箱功能）

　　目前，越来越多的用户逐渐重视安全和版权意识，但仍有部分用户习惯使用激活工具、Ghost镜像文件等盗版工具安装电脑系统。对此，马劲松建议广大用户使用正版操作系统，同时安装并保持腾讯电脑管家等安全软件实时开启状态。对于不幸中招的用户，可使用腾讯电脑管家急救箱功能，可彻底查杀Rootkit病毒。