天才疯子
"Kuzzle"通过下载器感染用户计算机MBR和VBR
"Kuzzle"的"Bootkit"模块感染模块兼容XP、Win7、Win10等主流操作系统,通过感染计算机MBR和VBR驻留在用户系统中,还通过Hook磁盘读写钩子对抗杀软查杀。另外,即使用户察觉浏览器异常,重装系统也无法彻底清除"Kuzzle"。"Kuzzle"隐蔽性比之前的被曝光的"暗云"和"异鬼"等Bootkit更强,病毒用到的全部数据文件都加密存放在用户硬盘,只有在病毒运行时才会在内存解密后加载,整个攻击流程病毒文件全程不落地。火绒安全实验室发现近期感染MBR、VBR技术病毒和流氓软件呈逐渐增多的趋势,而且下载站已经成为流氓软件和病毒的重要传播渠道。
解决方法其实也是有的,就以前出现的“鬼影病毒”“暗云木马”都是感染计算机的MBR,因为MBR(主引导记录)和VBR(卷引导记录)都是独立于操作系统存在的,你的电脑就是换系统也不会动MBR里面的数据,他是用来引导操作系统加载,电脑开机时先于操作系统运行,所以你再如何换系统,对此类木马病毒没有丝毫影响。
思路如下:
准备一个带启动的U盘,电脑重启进PE工具,打开Diskgenuis,点击“硬盘”“重建主引导记录(MBR)”
然后进系统使用杀软全盘杀毒。
如果你的电脑可以重做系统,用U盘进PE工具,一定要记录“重建主引导记录(MBR)”,再重做系统。做完系统先装杀软,先杀毒。
如果可以,重新分区,重写MBR,使用干净U盘工具做系统。肯定是能清除病毒。之前碰到的鬼影病毒,都是这样处理的
愛你数码
安全事件:
"Kuzzle"病毒通过下载站的高速下载器推广传播,下载器会默认下载携带病毒的"云记事本"程序。电脑感染病毒后,浏览器首页会被劫持,谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。火绒安全团队通过技术溯源发现,"Kuzzle"采用多种技术手段躲避安全软件的查杀,其中就包括盗用知名安全厂商北信源公司的数字签名。当安全软件检测到该数字签名时,会将其误认为是北信源产品,自动放过病毒,不进行查杀。由于现在行业内的安全软件大多过度倚重白名单技术,病毒通过"盗用文件签名",即可将攻破这些安全软件的信任漏洞,轻松攻入电脑。"Kuzzle"通过篡改电脑系统中的主引导记录(MBR)和卷引导记录(VBR),在不修复主引导区情况下,用户即使重装系统也无法根除。
问题分析:
内因:
首先是下载站的参差不齐,高速下载器安全漏洞没有及时发现和修复;
其次北信源数字签名被盗用,没有处理更改以及上报。
(
数字签名:
将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名
数字证书:
)
外因:
黑客借助下载站高速下载器漏洞强制绑定下载恶意病毒,导致主页被篡改,注册表被修改,引导盘被写入恶意数据,影响用户安全!
应对:
大家最好去正规网站下载应用,不要去不信任的地方下载程序,最好不要用高速下载器!
大家注意如果电脑出现异常,多想多问或者找人看看!
天才疯子
火绒安全团队截获恶性病毒"Kuzzle",该病毒感染电脑后会劫持浏览器首页牟利,同时接受病毒作者的远程指令进行其他破坏活动。
- "Kuzzle"拥有非常高的技术水平,采用多种手段躲避安全软件的查杀,甚至盗用知名安全厂商的产品数字签名,利用安全软件的"白名单"的信任机制来躲避查杀。
- 更严重的是,用户即使重装系统也难以清除该病毒,使用户电脑长期处于被犯罪团伙的控制之下。
- 电脑感染病毒后,浏览器首页会被劫持,谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。
- 当安全软件检测到该数字签名时,会将其误认为是北信源产品,自动放过病毒,不进行查杀。
- 由于现在行业内的安全软件大多过度倚重白名单技术,病毒通过"盗用文件签名",即可将攻破这些安全软件的信任漏洞,轻松攻入电脑。
"Kuzzle"通过篡改电脑系统中的主引导记录(MBR)和卷引导记录(VBR),在不修复主引导区情况下,用户即使重装系统也无法根除。
"Kuzzle"通过下载器感染用户计算机MBR和VBR。
Bootkit病毒"Kuzzle"伪装成正规软件"云记事本",利用国内几大知名下载站的高速下载器进行推广传播。
- 通过分析我们认为,这两个有效签名的程序并不是传统的"白文件利用"。而且我们怀疑北信源的有效数字签名被黑客窃取或通过其它方式泄露,具体论证详见下文分析。
- "Kuzzle"的"Bootkit"模块感染模块兼容XP、Win7、Win10等主流操作系统,通过感染计算机MBR和VBR驻留在用户系统中,还通过Hook磁盘读写钩子对抗杀软查杀。
- 火绒安全实验室发现,某款"高速下载器"推广程序中包含恶性Bootkit病毒"Kuzzle"。该病毒"伪装"成名为"云记事本"的正常应用。
其实,许多自诩为懂电脑的人,却常常到各大无良下载站下载软件。这就是中国互联网。
以上如有侵删,谢谢关注。
鹭岛科技
一般来说,如果你都是在正规的软件下载站下载软件,从不随意打开不明网站、邮件等,那你的电脑中毒的几率其实很小。除非是像前段时间那样大规模爆发的病毒,你倒霉的话才会感染上。
正确防止病毒入侵的方法:
1、打开电脑防火墙
进入:开始 - 控制面板 - 网络和Internet - 查看网络状态和任务 - Windows 防火墙,选择【打开或关闭Windows 防火墙】,将防火墙打开即可。
防火墙是电脑的第一道防线,开启着绝对是有必要的。
2、定期修补电脑漏洞
在电脑上安装360/QQ电脑管家等软件,定期检测电脑是否存在系统漏洞,或者有无需要升级的补丁,及时对电脑进行“查漏补缺”,避免被病毒有可乘之机。
前段时间wanna cry可以入侵那么多电脑,就是因为很多人没有修补电脑漏洞所致。
3、不要在不明网站上下载软件
下载软件一定一定要到正规的网站下载,很多网站提供了不少的免费资源/破解资源,但是实际上只是钓鱼的掩盖,在这里下软件,你的电脑不中毒,谁中毒?
正规网站包括:软件官网,几个大的平台比如Pconline、绿色下载站、PC6等。
4、安装软件请注意
这个不是防止中毒的技巧,但也算是防止电脑变卡的一个方式。现在很多软件在下载之后都会默默地给你安装一些附带软件,小白很容易就中招。
所以在下载安装软件的时候,请注意是否勾选掉了不要下载的软件。
5、定时清理电脑
电脑文件过多的情况下,有时候查杀病毒都要大半天。所以请记得定期清理电脑数据。
若发生误删除的情况,可以使用【强力数据恢复软件】进行数据恢复。
以上这些方法都做好之后,基本上你也就可以防御99%的病毒了。信不信由你咯~
