盜版Ghost系統攜「獨狼」Rootkit來襲 超20款瀏覽器被劫持

來自專欄騰訊安全聯合實驗室8 人贊了文章

互聯網時代，瀏覽器是人們每天必備的上網工具，很多人的電腦里甚至會裝上不止一種瀏覽器。超高的使用頻率也使得瀏覽器具備超高的「利用價值」。最近，就有不法分子就將「作案」目標鎖定瀏覽器，企圖通過劫持瀏覽器主頁來獲取非法利潤。騰訊御見威脅情報中心在多個流行的Ghost系統中檢測到一款名為Jomalone(「獨狼」)的Rootkit後門木馬，劫持23款主流瀏覽器主頁牟利，並利用Rootkit木馬特性與安全軟體對抗。

騰訊御見威脅情報中心監測發現，「獨狼」系列Rootkit木馬的傳播渠道為盜版Ghost系統，主要獲利方式為軟體捆綁推廣、主頁劫持、廣告彈窗。目前，在包括裝機助理、系統之家等網民常用的網站下載的盜版Ghost系統中均已發現該Rootkit病毒。由於系統之家等網站訪問量大，且這些網站還會購買搜索引擎關鍵字廣告來獲得流量，這些內置病毒的盜版Ghost系統下載鏈接的搜索結果明顯靠前，受該病毒影響的用戶也較廣泛。

由於在盜版Ghost系統安裝時Rootkit就潛伏在系統里了，可以搶佔先機攔截阻止殺毒軟體的查殺。同時，Rootkit後門木馬具備系統底層許可權，技術含量較高，可鎖定多款瀏覽器主頁，是公認查殺難度大的病毒類型。此次發現的「獨狼」Rootkit會影響主流殺毒軟體的正常運行，阻止殺毒軟體載入驅動程序，直接導致殺毒軟體防禦功能失效，包括主流殺毒軟體的工具箱功能也已無法使用。

盜版Ghost系統通過廣告競價排名獲得網路訪問量以吸引用戶下載安裝，通過向盜版Ghost系統中預裝病毒，最終實現軟體推廣安裝，劫持主頁獲利。獲利之後再繼續加大推廣力度，形成一個完整的閉環產業鏈。

針對已經使用這些盜版Ghost安裝系統，並導致殺毒軟體功能異常的電腦環境，用戶可以先在其他正常電腦下載並解壓專殺工具，然後將解壓版本複製到中毒電腦上運行查殺。由於病毒對抗，在中毒電腦直接解壓會失敗。

騰訊安全反病毒實驗室專家馬勁松提醒廣大網民使用正版操作系統，市面上售賣的新電腦大多已預裝了正版操作系統，網民無需再去通過盜版Ghost重裝。盡量使用原版系統，若安裝操作系統需要使用正規渠道。同時，網民需要養成良好的日常上網習慣，不輕易點擊和下載安全性不明的鏈接和文件，並保持安全軟體始終處於運行狀態，可有效防止用戶電腦被木馬入侵。

推薦閱讀：