盗版Win7内置“瘟七”木马 借XP停服疯狂感染
http://www.techweb.com.cn/
2014.05.23 13:09
360播报
( 17 条评论 )
5月23日,360安全中心发布木马警报称,一个名为“Win7 Ghost SP1装机旗舰版”的盗版系统内置木马驱动(intelk36.sys),其感染量从今年4月开始不断上升,最近已达每天上万台电脑中招,很可能与Windows XP停止服务后部分XP电脑重装系统有关。此寄生在盗版Win7中的恶意程序也被命名为“瘟七”木马。 装入“瘟七”木马的电脑系统,浏览器主页和淘宝等知名购物网站就会被木马劫持。具体中招现象包括:浏览器明明访问的是taobao.com,网址后却自动多出“pid=mm**”一串字符;上网主页设置的是hao123或360网址导航,却自动跳转到一个陌生的导航网站。 360反病毒工程师介绍说,“瘟七”木马装机系统早在2013年就已出现,内置的木马驱动程序也在联网升级,intelk36.sys就是其最新变种。该木马通过注入浏览器劫持网络数据,由于木马的暴力攻击,部分浏览器会出现“文件被破坏,不是原版文件”的弹框提示,如遇到类似提示信息,则意味着电脑已经中招。
经分析,“瘟七”木马驱动深入系统底层,能够在电脑开机时抢先运行。它采用了挂钩Windows文件系统的“隐形”手段,绝大多数杀毒软件无法检测到木马的存在。如果电脑出现访问A网址却打开B网址,或是浏览器遭破坏的情况,应使用360系统急救箱“强力模式”进行查杀。(在带毒环境中,如果发现急救箱无法运行,请先将急救箱的SuperKiller.exe改名再运行)
另据360安全中心监测,内置木马的盗版Win7打着某知名装机系统的旗号,在各大搜索引擎的搜索指数长期居高不下,再加上近期XP停服事件沸沸扬扬,部分XP用户谋求升级到使用习惯更贴近XP的Win7,而正版Win7去年已经停售,这也使得盗版Win7成为木马病毒寄生传播的温床。 ( 责任编辑:张弛) 2014.05.23 |
|
|
图1:浏览器遭破坏是系统感染“瘟七”木马的中招现象之一
图2:360系统急救箱查杀盗版Win7内置的“瘟七”木马
