购物车

您的购物车目前是空的

商品分类
  1. 嘶货 首页
  2. 企业动态

双枪3暴力来袭

近日,360安全中心接到用户反馈,在安装某装机盘系统后,主页被恶意篡改,无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。

去年7月,360安全中心发现了连环感染MBR和VBR的新型木马——“双枪”木马,今年4月,“双枪”木马2代出现,360对感染释放驱动行为发布分析报告。日前,360安全中心监测发现,“双枪”木马3代出现,该版本相比之前显著增强了对系统HIVE文件恶意锁定。

我们曾经对“双枪”的木马做过详细的分析:

“双枪”狙击:首例连环感染MBR和VBR的顽固木马分析

http://www.4hou.com/system/6312.html

密室内的枪声!“双枪2”感染过程实录

http://www.4hou.com/technology/11022.html

与前两代前“双枪”一样,“双枪”木马3代主要行为也是修改MBR和VBR,然后篡改用户主页进而牟利。

驱动文件信息为:

1.png

图1

驱动时间为2018年 6 月13号。

驱动文件签名为:

2.png

图2

跟之前版本一样是多了两个volmgr.sys驱动。

3.png

图3

4.png

图4

并且拒绝了对Ntfs.sys storport.sys读取和恢复钩子:

5.png

图5

该版本相比之前显著增强了对系统HIVE文件恶意锁定。

最后篡改用户浏览器主页为:

6.png

图6

目前360安全卫士已经支持查杀:

7.png

图7

建议用户尽量不要轻易下载来历不明的系统。

 

联系我们

010-62029792

在线咨询: 点击这里给我发消息

电子邮箱:info@4hou.com

工作时间:09:00 ~ 18:00