天才瘋子
"Kuzzle"通過下載器感染用戶計算機MBR和VBR
"Kuzzle"的"Bootkit"模塊感染模塊兼容XP、Win7、Win10等主流操作系統,通過感染計算機MBR和VBR駐留在用戶系統中,還通過Hook磁盤讀寫鉤子對抗殺軟查殺。另外,即使用戶察覺瀏覽器異常,重裝系統也無法徹底清除"Kuzzle"。"Kuzzle"隱蔽性比之前的被曝光的"暗雲"和"異鬼"等Bootkit更強,病毒用到的全部數據文件都加密存放在用戶硬盤,只有在病毒運行時才會在內存解密後加載,整個攻擊流程病毒文件全程不落地。火絨安全實驗室發現近期感染MBR、VBR技術病毒和流氓軟件呈逐漸增多的趨勢,而且下載站已經成為流氓軟件和病毒的重要傳播渠道。
解決方法其實也是有的,就以前出現的“鬼影病毒”“暗雲木馬”都是感染計算機的MBR,因為MBR(主引導記錄)和VBR(卷引導記錄)都是獨立於操作系統存在的,你的電腦就是換系統也不會動MBR裡面的數據,他是用來引導操作系統加載,電腦開機時先於操作系統運行,所以你再如何換系統,對此類木馬病毒沒有絲毫影響。
思路如下:
準備一個帶啟動的U盤,電腦重啟進PE工具,打開Diskgenuis,點擊“硬盤”“重建主引導記錄(MBR)”
然後進系統使用殺軟全盤殺毒。
如果你的電腦可以重做系統,用U盤進PE工具,一定要記錄“重建主引導記錄(MBR)”,再重做系統。做完系統先裝殺軟,先殺毒。
如果可以,重新分區,重寫MBR,使用乾淨U盤工具做系統。肯定是能清除病毒。之前碰到的鬼影病毒,都是這樣處理的
愛你數碼
安全事件:
"Kuzzle"病毒通過下載站的高速下載器推廣傳播,下載器會默認下載攜帶病毒的"雲記事本"程序。電腦感染病毒後,瀏覽器首頁會被劫持,谷歌、火狐、360等多款主流瀏覽器都會被修改為hao123導航站。火絨安全團隊通過技術溯源發現,"Kuzzle"採用多種技術手段躲避安全軟件的查殺,其中就包括盜用知名安全廠商北信源公司的數字簽名。當安全軟件檢測到該數字簽名時,會將其誤認為是北信源產品,自動放過病毒,不進行查殺。由於現在行業內的安全軟件大多過度倚重白名單技術,病毒通過"盜用文件簽名",即可將攻破這些安全軟件的信任漏洞,輕鬆攻入電腦。"Kuzzle"通過篡改電腦系統中的主引導記錄(MBR)和卷引導記錄(VBR),在不修復主引導區情況下,用戶即使重裝系統也無法根除。
問題分析:
內因:
首先是下載站的參差不齊,高速下載器安全漏洞沒有及時發現和修復;
其次北信源數字簽名被盜用,沒有處理更改以及上報。
(
數字簽名:
將該報文摘要值用發送者的私人密鑰加密,然後連同原報文一起發送給接收者,而產生的報文即稱數字簽名
數字證書:
)
外因:
黑客藉助下載站高速下載器漏洞強制綁定下載惡意病毒,導致主頁被篡改,註冊表被修改,引導盤被寫入惡意數據,影響用戶安全!
應對:
大家最好去正規網站下載應用,不要去不信任的地方下載程序,最好不要用高速下載器!
大家注意如果電腦出現異常,多想多問或者找人看看!
天才瘋子
火絨安全團隊截獲惡性病毒"Kuzzle",該病毒感染電腦後會劫持瀏覽器首頁牟利,同時接受病毒作者的遠程指令進行其他破壞活動。
- "Kuzzle"擁有非常高的技術水平,採用多種手段躲避安全軟件的查殺,甚至盜用知名安全廠商的產品數字簽名,利用安全軟件的"白名單"的信任機制來躲避查殺。
- 更嚴重的是,用戶即使重裝系統也難以清除該病毒,使用戶電腦長期處於被犯罪團伙的控制之下。
- 電腦感染病毒後,瀏覽器首頁會被劫持,谷歌、火狐、360等多款主流瀏覽器都會被修改為hao123導航站。
- 當安全軟件檢測到該數字簽名時,會將其誤認為是北信源產品,自動放過病毒,不進行查殺。
- 由於現在行業內的安全軟件大多過度倚重白名單技術,病毒通過"盜用文件簽名",即可將攻破這些安全軟件的信任漏洞,輕鬆攻入電腦。
"Kuzzle"通過篡改電腦系統中的主引導記錄(MBR)和卷引導記錄(VBR),在不修復主引導區情況下,用戶即使重裝系統也無法根除。
"Kuzzle"通過下載器感染用戶計算機MBR和VBR。
Bootkit病毒"Kuzzle"偽裝成正規軟件"雲記事本",利用國內幾大知名下載站的高速下載器進行推廣傳播。
- 通過分析我們認為,這兩個有效簽名的程序並不是傳統的"白文件利用"。而且我們懷疑北信源的有效數字簽名被黑客竊取或通過其它方式洩露,具體論證詳見下文分析。
- "Kuzzle"的"Bootkit"模塊感染模塊兼容XP、Win7、Win10等主流操作系統,通過感染計算機MBR和VBR駐留在用戶系統中,還通過Hook磁盤讀寫鉤子對抗殺軟查殺。
- 火絨安全實驗室發現,某款"高速下載器"推廣程序中包含惡性Bootkit病毒"Kuzzle"。該病毒"偽裝"成名為"雲記事本"的正常應用。
其實,許多自詡為懂電腦的人,卻常常到各大無良下載站下載軟件。這就是中國互聯網。
以上如有侵刪,謝謝關注。
鷺島科技
一般來說,如果你都是在正規的軟件下載站下載軟件,從不隨意打開不明網站、郵件等,那你的電腦中毒的幾率其實很小。除非是像前段時間那樣大規模爆發的病毒,你倒黴的話才會感染上。
正確防止病毒入侵的方法:
1、打開電腦防火牆
進入:開始 - 控制面板 - 網絡和Internet - 查看網絡狀態和任務 - Windows 防火牆,選擇【打開或關閉Windows 防火牆】,將防火牆打開即可。
防火牆是電腦的第一道防線,開啟著絕對是有必要的。
2、定期修補電腦漏洞
在電腦上安裝360/QQ電腦管家等軟件,定期檢測電腦是否存在系統漏洞,或者有無需要升級的補丁,及時對電腦進行“查漏補缺”,避免被病毒有可乘之機。
前段時間wanna cry可以入侵那麼多電腦,就是因為很多人沒有修補電腦漏洞所致。
3、不要在不明網站上下載軟件
下載軟件一定一定要到正規的網站下載,很多網站提供了不少的免費資源/破解資源,但是實際上只是釣魚的掩蓋,在這裡下軟件,你的電腦不中毒,誰中毒?
正規網站包括:軟件官網,幾個大的平臺比如Pconline、綠色下載站、PC6等。
4、安裝軟件請注意
這個不是防止中毒的技巧,但也算是防止電腦變卡的一個方式。現在很多軟件在下載之後都會默默地給你安裝一些附帶軟件,小白很容易就中招。
所以在下載安裝軟件的時候,請注意是否勾選掉了不要下載的軟件。
5、定時清理電腦
電腦文件過多的情況下,有時候查殺病毒都要大半天。所以請記得定期清理電腦數據。
若發生誤刪除的情況,可以使用【強力數據恢復軟件】進行數據恢復。
以上這些方法都做好之後,基本上你也就可以防禦99%的病毒了。信不信由你咯~
