网络安全

关于异鬼II bootkit病毒有关情况的预警通报

发布时间: 2017-08-01 10:10:58    浏览次数: 35

近日,CNCERT收到腾讯公司关于一款名为“异鬼II”的bootkit病毒在互联网上大量传播的情况报告。CNCERT及时开展监测分析,发现我国境内已有大量用户感染,对我国互联网安全构成一定的威胁。现将情况通报如下:

一、基本情况

综合CNCERT和腾讯公司已获知的样本情况和分析结果,“异鬼Ⅱ”病毒通过国内高速下载器推广,并且能够兼容XP、Win7、Win10等主流操作系统。“异鬼Ⅱ”病毒隐藏在多款正规刷机软件中,带有官方数字签名。该病毒通过一系列复杂技术潜伏在用户电脑中,具有静默安装、云端控制、隐蔽性强、难以查杀等特点。该病毒通过修改VBR(卷引导记录)长期驻留在系统中,并从云端下发功能模块到受害者电脑执行恶意行为,目前下发的模块功能主要是篡改浏览器主页、劫持导航网站、后台刷流量等,具备互联网黑产盈利特性。

二、处置建议

根据“异鬼II”的传播与感染特性,建议用户近期采取积极的安全防范措施:

1、中毒检测方法

(1)检查电脑以下目录是否存在.wav文件

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

C:\Users\用户名\AppData\Local\Microsoft\Media

(2)检查是否存在C:\windows\system32\usbsapi.dll文件

(3)检查注册表是否存在以下键值

{FC70EFDD-2741-495C-9A93-42408F6878D9}\un

(4)注册表存在以下键值,说明已感染

HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值:1

2、不要通过下载站下载软件,如果一定要用到高速下载器,不要选择安装捆绑在下载器中的软件。

3、下载腾讯、360等安全厂商发布的腾讯电脑管家、360急救箱等工具进行“异鬼II”的查杀。

    XZCERT后续将密切监测和关注该病毒的传播与感染情况,同时对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。如需技术支援,请联系XZCERT。

关于XZCERT

国家计算机网络应急技术处理协调中心西藏分中心(简称西藏互联网应急中心,XZCERT)是国家互联网应急中心(CNCERT/CC)在西藏自治区的省级分支机构,是西藏自治区通信管理局直属副厅级事业单位,致力于建设省级网络安全监测中心、预警中心和应急中心,以支撑省内政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。

关于CNVD

    国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

 

附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006