中文版 Global
首页 > 安全资讯 > 正文

新型木马篡改数万用户主页 360独家查杀

  • 2018-08-03 16:51:37

最近有没有发现打开浏览器映入眼帘的不是自己熟悉的网页?有没有发现就算用尽各种办法被更改的主页还是不懂得"Skr而止"仍然赖着不走?如果你的电脑发生了上述问题,那么很有可能就是被恶意木马篡改了主页!

最近,360安全中心接到用户反馈,在下载安装了某一系统装机盘后,他们的浏览器主页被恶意篡改为了"http://www.sogou789.com/",并且无法更改回用户想要设置的主页。我们的技术人员对此种名为"AnFiPageLock"的木马进行了分析,现在360安全卫士已独家支持此木马的查杀。

木马分析

研究员在用户电脑上提取到了携带了木马病毒的装机盘的文件信息:


路径为

C:\Windows\upsoftex.exe

该文件运行后会释放恶意驱动到系统中,驱动文件的路径为:

C:\Windows\System32\drivers\usb8083.dat

驱动文件信息为:


此驱动创建的设备名为"AnFi",此新型木马的名字也由来于此:


挂钩回调修改主页:


回调信息为:


线程队列中获取修改主页配置页面信息:


并且还将系统Hive文件信息抹除:


注册Minifilter 浏览器进程禁止以下目录文件打开:


最后注册回调篡改用户浏览器主页为:

http://www.sogou789.com/

(被篡改后显示的主页)

目前360安全卫士已经支持拦截查杀:


据安全中心统计,此次被恶意篡改主页的木马攻击的人数已达到三万余人,为了不让更多用户中招,我们建议尽量不要下载来历不明的系统安装盘,也不要轻易相信木马病毒伪造的"退出安全防护"提示。如果发现自己的浏览器已经被恶意篡改了,可以使用360安全卫士对木马进行查杀。除此之外,360安全卫士推出的主页修复功能还能帮您修复已经被篡改了的主页:


还没有安装安全卫士的用户可以用电脑访问此链接直接下载:

http://down.360safe.com/inst.exe


360安全卫士

热点排行

用户
反馈 返回
顶部