CNCERT关于异鬼II Bootkit病毒有关情况的预警通报

发表于:2017-8-02 09:51  作者:CNCERT   来源:FreeBuf

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 操作系统 互联网安全

  一、基本情况
  综合CNCERT和腾讯公司已获知的样本情况和分析结果,“异鬼Ⅱ”病毒通过国内高速下载器推广,并且能够兼容XP、Win7、Win10等主流操作系统。“异鬼Ⅱ”病毒隐藏在多款正规刷机软件中,带有官方数字签名。该病毒通过一系列复杂技术潜伏在用户电脑中,具有静默安装、云端控制、隐蔽性强、难以查杀等特点。该病毒通过修改VBR(卷引导记录)长期驻留在系统中,并从云端下发功能模块到受害者电脑执行恶意行为,目前下发的模块功能主要是篡改浏览器主页、劫持导航网站、后台刷流量等,具备互联网黑产盈利特性。
  二、处置建议
  根据“异鬼II”的传播与感染特性,CNCERT建议用户近期采取积极的安全防范措施:
  1、中毒检测方法
  a)检查电脑以下目录是否存在.wav文件
  C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media
  C:\Users\用户名\AppData\Local\Microsoft\Media
  b)检查是否存在C:\windows\system32\usbsapi.dll文件
  c)检查注册表是否存在以下键值
  {FC70EFDD-2741-495C-9A93-42408F6878D9}\un
  d)注册表存在以下键值,说明已感染
  HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值:1
  2、不要通过下载站下载软件,如果一定要用到高速下载器,不要选择安装捆绑在下载器中的软件。
  3、下载腾讯、360等安全厂商发布的腾讯电脑管家、360急救箱等工具进行“异鬼II”的查杀。
  CNCERT后续将密切监测和关注该病毒的传播与感染情况,同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。

【调查报告】你以为的测试行业现状,其实是这样的!

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2019, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道