360安全中心：“双”木马作案历史由来已久

“ Double Gun 3”又回来了，360率先杀死了

最近，在从360安全中心收到的用户反馈中，我们发现一些用户报告说，他们使用特定的安装CD安装系统后，其浏览器主页遭到了恶意篡改。无论用户使用哪种方法，都无法将主页更改为所需的内容。在我们的研究人员远程帮助用户提取相关文件之后，我们发现“双”木马的最新变种恶意锁定了用户的主页。

“双”木马具有悠久的历史。我们之前也对该木马进行过详细的病毒分析。该木马的主要行为特征是首先修改用户计算机的MBR和VBR，相当于该木马穿着“三级防弹背心”。在MBR，VBR和恶意驱动程序的周期性感染下，很难完全消除木马，如果不小心，它将在原位复活。有关“双”木马的具体行为分析，请参阅我们以前的文章：

“双3”的分析

驱动器文件信息，驱动器时间：2018年6月13日

图1

驱动器文件签名

图2

此变体的双式木马与以前的版本相同，具有两个以上的volmgr.sys驱动程序

图3

该木马拒绝读取和还原Ntfs.sys storport.sys挂钩

图4

与以前的版本相比，差异在于此版本的木马极大地增强了对系统HIVE文件的恶意锁定。

图5

最后，被用户篡改并锁定的浏览器主页是

图6

360名保安人员可以完美地检测并杀死

在体验了“双”木马的战斗精神之后，我们已经修复了此变种病毒。针对“ Double Gun”木马的技术特征，360 Security Guard可以自动检测并修复MBR和VBR。禁止加载恶意驱动程序；进入系统后，您只需要使用360 Security Guard扫描并再次杀死即可完全删除该木马程序。

尽管木马病毒可以由我们解决，但我们也建议用户不要轻易下载和安装未知来源的系统。下载后如果发现计算机异常，可以立即使用360安全卫士进行身体检查并杀死计算机。

在此处下载快速频道>>>

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-353109-1.html