双枪3暴力来袭
近日,360安全中心接到用户反馈,在安装某装机盘系统后,主页被恶意篡改,无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。
去年7月,360安全中心发现了连环感染MBR和VBR的新型木马——“双枪”木马,今年4月,“双枪”木马2代出现,360对感染释放驱动行为发布分析报告。日前,360安全中心监测发现,“双枪”木马3代出现,该版本相比之前显著增强了对系统HIVE文件恶意锁定。
我们曾经对“双枪”的木马做过详细的分析:
“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析
http://www.4hou.com/system/6312.html
密室内的枪声!“双枪2”感染过程实录
http://www.4hou.com/technology/11022.html
与前两代前“双枪”一样,“双枪”木马3代主要行为也是修改MBR和VBR,然后篡改用户主页进而牟利。
驱动文件信息为:
图1
驱动时间为2018年 6 月13号。
驱动文件签名为:
图2
跟之前版本一样是多了两个volmgr.sys驱动。
图3
图4
并且拒绝了对Ntfs.sys storport.sys读取和恢复钩子:
图5
该版本相比之前显著增强了对系统HIVE文件恶意锁定。
最后篡改用户浏览器主页为:
图6
目前360安全卫士已经支持查杀:
图7
建议用户尽量不要轻易下载来历不明的系统。