恶意篡改浏览器主页驱动的木马病毒我们已经见多了,他们大多隐藏在各种破解软件或游戏外挂中等待用户上钩,但这次我们发现并查杀的病毒竟通过冒充浏览器骗取用户下载安装,然后再释放恶意驱动篡改用户主页,这种自产自销的作案方式虽然别出心裁,但也着实卑鄙。针对此种木马病毒,360安全卫士已经可以全面查杀。
木马行为分析
木马伪装的浏览器安装包的下载页面为:
![自产自销的改主页木马,360出马片甲不留](http://p2.ttnews.xyz/loading.gif)
下载后文件的详细信息:
![自产自销的改主页木马,360出马片甲不留](http://p2.ttnews.xyz/loading.gif)
用户下载安装包运行后会释放一个20180606.exe的文件。
木马入口点,解密驱动文件数据,区分用户系统是32位还是64位,然后在系统中写入驱动。
创建服务:
开启篡改主页驱动的服务:
以上过程完成后,木马会成功篡改用户浏览器主页牟利。
360安全卫士已支持全面查杀
目前针对这类木马病毒,360安全卫士已经可以对用户电脑做到全方位保护,但研究员建议用户,在下载和升级软件时尽量使用有安全保障的软件管家 ,很多网络下载站都会存在木马病毒等安全风险,其次用户也要注意,不要被一些木马弹出的提示所蒙骗而退出杀软的安全防护,一旦杀软跳出安全预警要立即清理查杀。
安全防护三级甲(360安全卫士)下载地址:http://down.360safe.com/inst.exe
閱讀更多 360安全衛士 的文章