“双枪3”卷土重来，360率先查杀

“双枪3”卷土重来，360率先查杀

最近，从360安全中心接到的用户反馈中，我们发现部分用户反映在他们用某装机光盘安装完系统后，自己浏览器的主页被恶意篡改。用户无论使用什么方法都无法把主页更改为自己需要的，在我们的研究员远程帮助用户提取了相关文件后，我们发现恶意锁定了用户主页的是“双枪”木马的最新变种。

“双枪”木马作案历史由来已久，我们之前也对这种木马病毒做过详细的病毒分析，这种木马的主要行为特点就是先修改用户电脑的MBR和VBR，这相当于给木马穿上“三级甲防弹衣”。在MBR、VBR和恶意驱动的循环感染下，木马极难被彻底清除，稍有不慎就原地复活。针对“双枪”木马的具体行为分析可以参考我们之前的文章：

http://www.freebuf.com/articles/web/140113.html

https://www.secpulse.com/archives/70684.html

 “双枪3”分析

 驱动文件信息，驱动时间：2018年 6 月13号

图1

 驱动文件签名

图2

这次变种的双枪木马与之前的版本一样，都多了两个volmgr.sys驱动

图3

木马拒绝了对Ntfs.sys storport.sys钩子的读取和恢复

图4

与之前相比不同的是，此次的木马版本显著增强了对系统HIVE文件恶意锁定。

图5

最后,用户被篡改并锁定的浏览器主页为

图6

360安全卫士可完美查杀

经历了之前与“双枪”木马的斗志斗勇，这次的变种病毒我们也已经搞定，针对“双枪”木马的技术特点，360安全卫士可以自动检测和修复MBR及VBR，同时禁止恶意驱动的加载；进入系统后，只需要利用360安全卫士再次进行扫描查杀就可彻底清除该木马。

虽然木马病毒可以被我们解决，但我们也建议用户不要轻易下载安装来历不明的系统。如果下载后发现电脑出现异常情况可以马上使用360安全卫士对电脑进行体检和查杀。

 

下载快速通道在这里哦>>>http://down.360safe.com/inst.exe