360安全中心接到用户反馈,在下载使用某个网站的暴风激活软件后,浏览器主页被强制劫持到2345导航站,无法修改回用户需要的主页,工程师在远程用户电脑后发现,用户所下载的激活工具携带恶性Rootkit病毒,在用户使用激活工具后,恶意驱动会将浏览器主页进行劫持,下面是简要分析。
木马分析
病毒作者在下载页面弹出诱导用户退出360安全卫士,360杀毒等主流杀毒软件的提示,提示为"为防止杀毒软件误报误杀,请务必先退出360安全卫士,360杀毒等杀毒软件,再去下载激活",实则是为了躲避杀毒软件的查杀。360安全中心提醒广大用户,切勿轻信此类虚假提示,在使用来源不明或为知安全性的软件时,一定要先使用360安全卫士进行查杀,以防止被病毒木马感染。下图是携带病毒的激活工具下载页面:
激活工具运行后会释放恶意驱动,驱动信息如下:
下载的木马和锁定主页相关的配置文件(desktop.ini):
配置文件内容,如下图所示:
受影响的浏览器列表如下:
恶意驱动会根据配置文件将用户浏览器主页劫持到2345导航页面:
安全建议
下载器,激活工具,绿色软件是病毒传播的主要途径,病毒作者会使用各种诱骗手段欺骗用户使用携带病毒的相关软件,我们建议广大用户在使用此类未知安全性的软件时,先使用杀毒软件进行查杀,以防止电脑被病毒感染。
360安全卫士已支持此类木马查杀,建议广大用户安装使用: