“双枪3”卷土重来,360率先查杀
最近,从360安全中心接到的用户反馈中,我们发现部分用户反映在他们用某装机光盘安装完系统后,自己浏览器的主页被恶意篡改。用户无论使用什么方法都无法把主页更改为自己需要的,在我们的研究员远程帮助用户提取了相关文件后,我们发现恶意锁定了用户主页的是“双枪”木马的最新变种。
“双枪”木马作案历史由来已久,我们之前也对这种木马病毒做过详细的病毒分析,这种木马的主要行为特点就是先修改用户电脑的MBR和VBR,这相当于给木马穿上“三级甲防弹衣”。在MBR、VBR和恶意驱动的循环感染下,木马极难被彻底清除,稍有不慎就原地复活。针对“双枪”木马的具体行为分析可以参考我们之前的文章:
http://www.freebuf.com/articles/web/140113.html
https://www.secpulse.com/archives/70684.html
“双枪3”分析
驱动文件信息,驱动时间:2018年 6 月13号
电脑驱动文件签名
这次变种的双枪木马与之前的版本一样,都多了两个volmgr.sys驱动
木马拒绝了对Ntfs.sys storport.sys钩子的读取和恢复
与之前相比不同的是,此次的木马版本显著增强了对系统HIVE文件恶意锁定。
最后,用户被篡改并锁定的浏览器主电脑页为
360安全卫士可完美查杀
经历了之前与“双枪”木马的斗志斗勇,这次的变种病毒我们也已经搞定,针对“双枪”木马的技术特点,360安全卫士可以自动检测和修复MBR及VBR,同时禁止恶意驱动的加载;进入系统后,只需要利用360安全卫士再次进行扫描查杀就可彻底清除该木马。
虽然木马病毒电脑可以被我们解决,但我们也建议用户不要轻易下载安装来历不明的系统。如果下载后发现电脑出现异常情况可以马上使用360安全卫士对电脑进行体检和查杀。
下载快速通道在这里哦>>>http://down.360safe.com/inst.exe
电脑