最近,我们的安全研究员监测到一类篡改主页的木马病毒非常活跃,这种病毒会藏身于荒野行动等游戏外挂中,等用户*载下**后悄无声息的安装恶意程序,篡改用户浏览器主页。更人神共愤的是,当你事后用杀毒软件进行查杀时,这种病毒就会强制电脑重启逃避被查杀的命运,我们将其命名为SynCoPageLock。
木马行为分析
木马通过隐身于游戏外挂软件后被用户*载下**,*载下**到用户电脑上后会释放驱动文件:
驱动加载后会注册注册表进程模块加载回调:
回调过程中会判断设置加载驱动设置ImagePath检测驱动文件签名信息:
包含指定签名串返回设置错误:
在模块加载中会阻止网盾模块加载,用于木马篡改用户主页:
在文件MiniFilter中,禁止指定进程特定文件打开:
禁止打开:
进程回调中APC注入代码修改用户主页:
开启线程反复检测系统组启动项,当发现有特定启动组时,则直接*力暴**重启电脑:
线程还会反复检测其他的LoadImage,发现不是自己的就直接清理:
最后篡改用户主页到:
各种杀毒软件对此木马病毒的检出情况:
安全提醒
很多恶意的程序和病毒都藏身在各种游戏外挂软件中,外挂软件市场已经成为了病毒滋生的温床,所以最好还是不要涉足和*载下**这些鱼龙混杂的外挂软件,以防不幸中招。当然,用户大人们也不要相信木马病毒的挑拨离间,轻易退出杀毒软件的防护,如果杀毒软件发出木马病毒安全警示要及时检查清理。
针对各种企图篡改浏览器主页的木马病毒360安全卫士推出了主页修复功能,可以完美解决此类问题。
*载下**地址:http://down.360safe.com/instbeta*ex.e**
如果你的电脑不幸中毒已深,也可以*载下**我们的系统急救箱。别放弃,你的电脑真的还能再抢救一下!
*载下**地址:http://down.360safe.com/360c0mpkill5.1.64.1212-0706.zip