|
经常帮人修电脑的网民对“Ghost备份重装系统”一定不陌生。4月4日,腾讯电脑管家在国内首家曝光了这个被称为“双枪2”的病毒,隐藏在部分Ghost盗版系统盘中且极难处理。“双枪2”会抢在操作系统启动之前运行,并通过驱动程序切断杀毒软件联网,让一些主流的杀毒软件无法工作。云查杀不能使用的杀毒软件,防护能力会严重下降。 虽然“双枪2”病毒只是个例,但在Ghost系统中植入病毒,可以说是盗版Ghost黑色产业最常用的获利手段之一。鹅厂御见威胁情报中心的技术工程师下了功夫,通过收集当前互联网上最为流行的260个盗版Ghost系统做检测分析,得出了一些十分有价值的观点和结论。 盗版Ghost系统黑色产业是如何盈利的 Ghost是IT维护人员常用的备份恢复工具之一,国内多个软件盗版组织制作出了种类极为繁多的Ghost系统盘,比较知名的有蕃茄花园、萝卜花园、黑鲨装机大师、一键Ghost等等。有关数据显示,Ghost系统盘盗版产业链存在已有二十余年的历史。 根据鹅厂御见威胁情报中心的分析,Ghost系统黑色产业从业者在盗版系统ISO(光盘镜像)文件的制作、传播链条中,主要通过锁定用户网址导航站劫持搜索结果、预装商业软件进行恶意推广和内置病毒木马窃取用户隐私这3种手段获利。  (盗版Ghost系统产业获利链条) 狡猾的盗版组织为保证其获利行为不受杀毒软件的干扰,在制作盗版Ghost系统盘时,会对操作系统的安全性做配置修改,而这些配置和修改会给系统留下严重安全隐患。 例如强制篡改浏览器相关设置,搜索结果被劫持;在系统预留后门,窃取用户敏感信息;大量盗版系统预装的各种软件、补丁程序等未经严格测试,影响系统稳定;修改系统安全相关设置,系统安全性降低导致感染病毒木马几率增加,用户电脑长期被远程控制等。 盗版Ghost系统带毒概率超过90% 盗版Ghost系统盘最早靠生产盗版光盘来传播,随着国家的严厉打击以及光驱逐步被淘汰,贩卖盗版软件光盘的情况几乎消失。此后,盗版Ghost系统的经营者开始以互联网为主要传播发行渠道,通过撰写详细的使用教程,在电脑城装机商、社区电脑维修人员、企业IT维护人员、电脑发烧友等IT服务人员中进行传播,并最终影响更多的网民。 数据显示,260个盗版Ghost系统中被恶意篡改的系统占比达到68%,且浏览器主页被修改、捆绑安装未知软件等异常情况明显。由于不法分子蓄意植入病毒的版本搜索位置靠前,普通网民下载到带毒Ghost系统的概率甚至超过90%。  (带毒Ghost系统异常现象) 盗版Ghost系统内置病毒影响遍布全国,受影响较大地区为山东、河北、广东和湖北。  (带毒Ghost系统主要危害区域) 由于盗版Ghost系统数量众多,市场竞争激烈,为最大限度获得流量,很多盗版Ghost经营者擅长使用搜索引擎优化,甚至直接购买搜索引擎广告来做推广,还会通过问答社区进行大量引流。  (盗版Ghost团伙购买搜索引擎的关键字广告) 从对盗版Ghost系统团伙的域名进行解析,发现盗版Ghost系统分发的域名一旦被杀毒软件拦截,便会启用新域名,查杀难度较大。  (近期活跃的盗版Ghost团伙) 像“双枪2”这样的病毒不仅极难处理,因为MBR(硬盘主引导记录)和VBR(卷引导记录)均被改写,即使重装系统,病毒还会留在硬盘上。 一旦感染,查杀会很麻烦,一般用户基本上束手无策了。建议普通网民需要重装系统还是尽量选择品牌机的专业售后服务部门,即时是自行操作也尽量使用正版软件。当然,对小白用户而言,选择大品牌值得信赖的杀毒软件也不失为明智的选择。 如果发现已经中毒,可以在正常电脑下载腾讯电脑急救箱,用U盘COPY到故障电脑上安装后杀毒。 |
|
|
来自: flyk0tcfb46p9f > 《电脑》
