“雙槍3”捲土重來,360率先查殺
最近,從360安全中心接到的用戶反饋中,我們發現部分用戶反映在他們用某裝機光盤安裝完系統後,自己瀏覽器的主頁被惡意篡改。用戶無論使用什麼方法都無法把主頁更改為自己需要的,在我們的研究員遠程幫助用戶提取了相關文件後,我們發現惡意鎖定了用戶主頁的是“雙槍”木馬的最新變種。
“雙槍”木馬作案歷史由來已久,我們之前也對這種木馬病毒做過詳細的病毒分析,這種木馬的主要行為特點就是先修改用戶電腦的MBR和VBR,這相當於給木馬穿上“三級甲防彈衣”。在MBR、VBR和惡意驅動的循環感染下,木馬極難被徹底清除,稍有不慎就原地復活。針對“雙槍”木馬的具體行為分析可以參考我們之前的文章:
http://www.freebuf.com/articles/web/140113.html
https://www.secpulse.com/archives/70684.html
“雙槍3”分析
驅動文件信息,驅動時間:2018年 6 月13號
驅動文件簽名
這次變種的雙槍木馬與之前的版本一樣,都多了兩個volmgr.sys驅動
木馬拒絕了對Ntfs.sys storport.sys鉤子的讀取和恢復
與之前相比不同的是,此次的木馬版本顯著增強了對系統HIVE文件惡意鎖定。
最後,用戶被篡改並鎖定的瀏覽器主頁為
360安全衛士可完美查殺
經歷了之前與“雙槍”木馬的鬥志鬥勇,這次的變種病毒我們也已經搞定,針對“雙槍”木馬的技術特點,360安全衛士可以自動檢測和修復MBR及VBR,同時禁止惡意驅動的加載;進入系統後,只需要利用360安全衛士再次進行掃描查殺就可徹底清除該木馬。
雖然木馬病毒可以被我們解決,但我們也建議用戶不要輕易下載安裝來歷不明的系統。如果下載後發現電腦出現異常情況可以馬上使用360安全衛士對電腦進行體檢和查殺。
下載快速通道在這裡哦>>>http://down.360safe.com/inst.exe
閱讀更多 360安全衛士 的文章
