新型Rootkit病毒“幽靈巴士”來襲，騰訊電腦管家精準(zhǔn)查殺

近日，騰訊御見威脅情報(bào)中心監(jiān)控到惡性鎖主頁Rootkit病毒通過網(wǎng)絡(luò)盜版Ghost系統(tǒng)渠道傳播，用戶一旦中招，瀏覽器主頁將會被篡改為帶有推廣渠道ID的導(dǎo)航網(wǎng)站，為病毒作者賺“黑錢”。同時(shí)該病毒還極有可能轉(zhuǎn)變?yōu)橥诘V、勒索等更危險(xiǎn)的行為。目前，騰訊電腦管家已攔截并查殺該病毒。

(圖：騰訊電腦管家查殺該病毒)

據(jù)騰訊電腦管家安全專家分析發(fā)現(xiàn)，Rootkit病毒在用戶新裝系統(tǒng)運(yùn)行后，先通過檢測用戶瀏覽器主頁，尋找國內(nèi)常見導(dǎo)航站點(diǎn)進(jìn)行主頁劫持替換，然后統(tǒng)一跳轉(zhuǎn)到帶有推廣ID的指定導(dǎo)航站點(diǎn)。目前，該病毒可劫持包括Chrome、Firefox、IE瀏覽器等17款主流瀏覽器，及數(shù)十個(gè)網(wǎng)址導(dǎo)航站。同時(shí)，該病毒通過偽裝成一個(gè)正常的系統(tǒng)驅(qū)動，將自身驅(qū)動對應(yīng)的設(shè)備對象注冊為UsbBus，偽裝性極強(qiáng)，基于此，騰訊電腦管家將其命名為“幽靈巴士”。

另外， Rootkit病毒還具有移除另一個(gè)同類鎖主頁病毒驅(qū)動模塊的能力，Rootkit病毒通過“黑吃黑”鏟除競爭對手，“霸占”用戶瀏覽器主頁，企圖達(dá)到獨(dú)占系統(tǒng)資源的目的，即便是前不久騰訊威脅情報(bào)中心檢測出技術(shù)含量頗高的“獨(dú)狼”病毒也無法幸免。同時(shí)，該病毒采用Rootkit技術(shù)，具備系統(tǒng)底層權(quán)限，技術(shù)含量較高，導(dǎo)致普通殺毒軟件難以發(fā)現(xiàn)和查殺。

經(jīng)騰訊御見威脅情報(bào)平臺統(tǒng)計(jì)分析，Rootkit病毒在6月中旬開始規(guī)模性投放，進(jìn)一步查詢病毒上報(bào)信息域名可知，病毒目前活躍度依然有間歇性持續(xù)上漲趨勢。病毒感染地區(qū)中，以山東，廣東，江蘇最為嚴(yán)重，分別占比15.32%，12.29%，7.07%，其它地區(qū)均有不同程度的感染。

(圖：病毒整體感染態(tài)勢)

發(fā)展至今已20年的盜版Ghost系統(tǒng)是軟件盜版行業(yè)的一門“大生意”。國內(nèi)多個(gè)軟件盜版組織會在Ghost的基礎(chǔ)上對易用性做改進(jìn)，制作出品牌繁多的各類Ghost系統(tǒng)盤，其中部分盜版Ghost系統(tǒng)組織為了謀求收益，會在系統(tǒng)中植入病毒木馬來進(jìn)行主頁劫持、挖礦、流氓捆綁、流氓彈窗等惡意行為，給系統(tǒng)使用者帶來了極大的安全隱患。

不過，隨著中國保護(hù)知識產(chǎn)權(quán)的不斷進(jìn)步，中國電腦市場品牌機(jī)預(yù)裝正版操作系統(tǒng)的比例已接近100%，盜版系統(tǒng)目前主要存在于為數(shù)不多的DIY市場，以及重裝系統(tǒng)的需求。對此，騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松建議廣大網(wǎng)民在系統(tǒng)出現(xiàn)問題需要重裝時(shí);盡量選擇品牌機(jī)的專業(yè)售后服務(wù)部門;盡量使用正版系統(tǒng)，不要輕信小型論壇、網(wǎng)盤或者直接搜索得到的陌生文件。同時(shí)，網(wǎng)民需要養(yǎng)成良好的日常上網(wǎng)習(xí)慣，推薦使用騰訊電腦管家等安全類軟件，并始終保持運(yùn)行狀態(tài)，可有效防止用戶電腦被木馬入侵。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。