双枪3暴力来袭 360率先查杀

释放双眼,带上耳机,听听看~!
近日,360安全中心接到用户反馈,在安装某装机盘系统后,主页被恶意篡改,无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。去年7月,360安全中心发现了连环感染MBR和VBR的新型木马——“双枪”木马,今年4月,“双枪”木马2代出现,360对感染释

近日,360安全中心接到用户反馈,在安装某装机盘系统后,主页被恶意篡改,无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。

去年7月,360安全中心发现了连环感染MBR和VBR的新型木马——“双枪”木马,今年4月,“双枪”木马2代出现,360对感染释放驱动行为发布分析报告。日前,360安全中心监测发现,“双枪”木马3代出现,该版本相比之前显著增强了对系统HIVE文件恶意锁定。

我们曾经对“双枪”的木马做过详细的分析:

双枪2驱动分析

https://www.secfree.com/article-782.html

密室内的枪声!“双枪2”感染过程实录

https://www.secfree.com/article-766.html

与前两代前“双枪”一样,“双枪”木马3代主要行为也是修改MBR和VBR,然后篡改用户主页进而牟利。

驱动文件信息为:

1.png

驱动时间为2018年 6 月13号。

驱动文件签名为: 

2.png

跟之前版本一样是多了两个volmgr.sys驱动。

3.png

图3

4.png

图4

并且拒绝了对Ntfs.sys storport.sys读取和恢复钩子:

5.png

图5

该版本相比之前显著增强了对系统HIVE文件恶意锁定。

最后篡改用户浏览器主页为:

6.png

图6

目前360安全卫士已经支持查杀:

7.png

图7

建议用户尽量不要轻易下载来历不明的系统,下载后发现可疑情况使用360安全卫士查杀。

下载地址:http://down.360safe.com/inst.exe

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

相约9月」2018第三届SSC安全峰会议题征集开始啦!

2018-6-21 2:02:01

HackerNews

Mosec最吸睛神技:360展示iOS11/12最新版“双越狱”

2018-6-22 5:35:40

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索