盜版Ghost系統攜「獨狼」Rootkit來襲 超20款瀏覽器被劫持

盜版Ghost系統攜「獨狼」Rootkit來襲 超20款瀏覽器被劫持

來自專欄騰訊安全聯合實驗室8 人贊了文章

互聯網時代,瀏覽器是人們每天必備的上網工具,很多人的電腦里甚至會裝上不止一種瀏覽器。超高的使用頻率也使得瀏覽器具備超高的「利用價值」。最近,就有不法分子就將「作案」目標鎖定瀏覽器,企圖通過劫持瀏覽器主頁來獲取非法利潤。騰訊御見威脅情報中心在多個流行的Ghost系統中檢測到一款名為Jomalone(「獨狼」)的Rootkit後門木馬,劫持23款主流瀏覽器主頁牟利,並利用Rootkit木馬特性與安全軟體對抗。

騰訊御見威脅情報中心監測發現,「獨狼」系列Rootkit木馬的傳播渠道為盜版Ghost系統,主要獲利方式為軟體捆綁推廣、主頁劫持、廣告彈窗。目前,在包括裝機助理、系統之家等網民常用的網站下載的盜版Ghost系統中均已發現該Rootkit病毒。由於系統之家等網站訪問量大,且這些網站還會購買搜索引擎關鍵字廣告來獲得流量,這些內置病毒的盜版Ghost系統下載鏈接的搜索結果明顯靠前,受該病毒影響的用戶也較廣泛。

(盜版Ghost系統預埋病毒)

由於在盜版Ghost系統安裝時Rootkit就潛伏在系統里了,可以搶佔先機攔截阻止殺毒軟體的查殺。同時,Rootkit後門木馬具備系統底層許可權,技術含量較高,可鎖定多款瀏覽器主頁,是公認查殺難度大的病毒類型。此次發現的「獨狼」Rootkit會影響主流殺毒軟體的正常運行,阻止殺毒軟體載入驅動程序,直接導致殺毒軟體防禦功能失效,包括主流殺毒軟體的工具箱功能也已無法使用。

盜版Ghost系統通過廣告競價排名獲得網路訪問量以吸引用戶下載安裝,通過向盜版Ghost系統中預裝病毒,最終實現軟體推廣安裝,劫持主頁獲利。獲利之後再繼續加大推廣力度,形成一個完整的閉環產業鏈。

針對已經使用這些盜版Ghost安裝系統,並導致殺毒軟體功能異常的電腦環境,用戶可以先在其他正常電腦下載並解壓專殺工具,然後將解壓版本複製到中毒電腦上運行查殺。由於病毒對抗,在中毒電腦直接解壓會失敗。

騰訊安全反病毒實驗室專家馬勁松提醒廣大網民使用正版操作系統,市面上售賣的新電腦大多已預裝了正版操作系統,網民無需再去通過盜版Ghost重裝。盡量使用原版系統,若安裝操作系統需要使用正規渠道。同時,網民需要養成良好的日常上網習慣,不輕易點擊和下載安全性不明的鏈接和文件,並保持安全軟體始終處於運行狀態,可有效防止用戶電腦被木馬入侵。

推薦閱讀:

中國黑客簡史與網路攻防,看大牛總結超詳細!
網路安全等級保護雲計算安全防護技術體系設計
除了晶元,網路安全問題也急需應對!
農民鬥地主——Binder fuzz安全研究
數據安全(對於時下與數據安全的熱點新聞及諮詢類的討論較多,故論壇文以熱點新聞為入口點)

TAG:網頁瀏覽器 | 木馬病毒 | 網路安全 |