东莞理工学院论坛

标题: 大学生如何避免“异鬼Ⅱ”Bootkit木马攻击—— “异鬼Ⅱ”Bootkit木马详细分析 [打印本页]

作者: 33啊 时间: 2017-8-1 13:16
标题: 大学生如何避免“异鬼Ⅱ”Bootkit木马攻击—— “异鬼Ⅱ”Bootkit木马详细分析
概述：
随着互联网和移动互联网的的告诉发展，刷机，下载软件和工具已经成为大学生的日常生活习惯，而下载站的高速下载器一直是恶意木马大规模传播的温床，前段时间的暗云Ⅲ木马通过高速下载器传播推广，感染机器数高达数百万台。近期，腾讯电脑管家又拦截到了一个通过高速下载器大范围传播的恶性Bootkit木马——异鬼Ⅱ，令人吃惊的是这个恶意VBR的植入者，居然是一款比较知名的软件——甜椒刷机。
正因为开发者是正规的软件公司，软件上打了官方的数字签名，不少安全厂商将其加入白名单中，导致大量机器感染。该木马主要有以下特点：
1. 正规软件携带恶意代码：异鬼Ⅱ隐藏在正规软件中，带有官方数字签名，导致大量安全厂商直接放行。
2. 影响范围广：通过国内几大知名下载站的高速下载器推广，并且异鬼Ⅱ能够兼容xp、win7、win10等主流操作系统，影响数百万台用户机器。
3. 云控、灵活作恶：木马的VBR感染模块，以及最终实际作恶的模块均由云端下发，作者可任意下发功能模块到受害者电脑执行任意恶意行为，目前下发的主要是篡改浏览器主页、劫持导航网站、后台刷流量等。
4. 隐蔽性强、顽固性强：通过感染VBR长期驻留在系统中，普通的重装系统无法清除木马；异鬼Ⅱ还通过底层磁盘钩子守护恶意VBR，对抗杀软查杀。

欢迎光临东莞理工学院论坛 (http://dgut.myubbs.com/)