首页
>
规则描述
>
修改描述
【页面双击滚屏】
作者:ecawen
id
sid
标题
BUGTRAQ ID
CVE ID
应用类型
漏洞描述
1. 正规软件携带恶意代码:异鬼Ⅱ隐藏在正规软件中,带有官方数字签名,导致大量安全厂商直接放行。 2. 影响范围广:通过国内几大知名下载站的高速下载器推广,并且异鬼Ⅱ能够兼容xp、win7、win10等主流操作系统,影响数百万台用户机器。 3. 云控、灵活作恶:木马的VBR感染模块,以及最终实际作恶的模块均由云端下发,作者可任意下发功能模块到受害者电脑执行任意恶意行为,目前下发的主要是篡改浏览器主页、劫持导航网站、后台刷流量等。 4. 隐蔽性强、顽固性强:通过感染VBR长期驻留在系统中,普通的重装系统无法清除木马;异鬼Ⅱ还通过底层磁盘钩子守护恶意VBR,对抗杀软查杀。
攻击范围
windows
解决方法
1. 检查电脑以下目录是否存在.wav文件。 C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media C:\Users\用户名\AppData\Local\Microsoft\Media 2. 检查是否存在C:\windwos\system32\usbsapi.dll文件。 3. 注册表存在以下键值,说明已感染 HKEY_LOCAL_MACHINE\ Software\Classes\CLSID\{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值:1 1. 尽量不要通过下载站下载软件,如果一定要用到高速下载器,安装时记得去掉不需要的推荐软件。 2. 由于该木马文件有数字签名,且被大多数安全软件默认为信任,因此多数安全厂商还无法查杀该木马。目前电脑管家已经能够查杀该VBR木马,发现电脑有异常的用户可下载电脑管家进行清理。
其它资料
请访问[jiwo.org]寻求解决方案。
备注