最近有没有发现打开浏览器映入眼帘的不是自己熟悉的网页？有没有发现就算用尽各种办法被更改的主页还是不懂得"Skr而止"仍然赖着不走？如果你的电脑发生了上述问题，那么很有可能就是被恶意木马篡改了主页！

最近，360安全中心接到用户反馈，在下载安装了某一系统装机盘后，他们的浏览器主页被恶意篡改为了"http://www.sogou789.com/"，并且无法更改回用户想要设置的主页。我们的技术人员对此种名为"AnFiPageLock"的木马进行了分析，现在360安全卫士已独家支持此木马的查杀。

木马分析

研究员在用户电脑上提取到了携带了木马病毒的装机盘的文件信息：

路径为

C:\Windows\upsoftex.exe

该文件运行后会释放恶意驱动到系统中，驱动文件的路径为:

C:\Windows\System32\drivers\usb8083.dat

驱动文件信息为:

此驱动创建的设备名为"AnFi"，此新型木马的名字也由来于此：

挂钩回调修改主页:

回调信息为:

线程队列中获取修改主页配置页面信息:

并且还将系统Hive文件信息抹除:

注册Minifilter 浏览器进程禁止以下目录文件打开:

最后注册回调篡改用户浏览器主页为:

http://www.sogou789.com/

（被篡改后显示的主页）

目前360安全卫士已经支持拦截查杀：

据安全中心统计，此次被恶意篡改主页的木马攻击的人数已达到三万余人，为了不让更多用户中招，我们建议尽量不要下载来历不明的系统安装盘，也不要轻易相信木马病毒伪造的"退出安全防护"提示。如果发现自己的浏览器已经被恶意篡改了，可以使用360安全卫士对木马进行查杀。除此之外，360安全卫士推出的主页修复功能还能帮您修复已经被篡改了的主页：

还没有安装安全卫士的用户可以用电脑访问此链接直接下载：

http://down.360safe.com/inst.exe