近日,騰訊電腦管家發(fā)布病毒預警���,提示在部分Ghost盜版系統(tǒng)盤中發(fā)現(xiàn)極難處理的“雙槍2”病毒�����。此病毒會感染硬盤MBR(主引導記錄)和VBR(卷引導記錄)����,搶在操作系統(tǒng)啟動之前運行,惡意篡改用戶系統(tǒng)并竊取用戶隱私信息���。此外��,病毒釋放的驅動程序會對抗主流殺毒軟件�����,切斷殺毒軟件的聯(lián)網(wǎng)功能���,導致殺毒軟件安全功能被破壞。
目前���,騰訊電腦管家已緊急上線可完美修復感染“雙槍2”病毒系統(tǒng)的“急救箱”工具。為更好地對抗此類頑固病毒��,騰訊御見威脅情報中心通過收集當前互聯(lián)網(wǎng)上最為流行的260個盜版Ghost系統(tǒng)進行安全檢測分析��,深度揭秘盜版Ghost黑色產(chǎn)業(yè)鏈,并給出了相應的安全建議���。
在盜版Ghost系統(tǒng)中植入病毒已成黑產(chǎn)常用手段
Ghost是IT維護人員常用的備份恢復工具之一�����,在經(jīng)常幫人修電腦的網(wǎng)民中具有極高的知名度和使用率��。國內多個軟件盜版組織制作出了種類極為繁多的Ghost系統(tǒng)盤��,比較知名的有蕃茄花園�、蘿卜花園��、黑鯊裝機大師����、一鍵Ghost等等。騰訊電腦管家安全專家指出����,類似本次“雙槍2”病毒的作案手法,在Ghost系統(tǒng)中植入病毒����,是盜版Ghost黑色產(chǎn)業(yè)最常用的贏利手段之一���。
據(jù)悉,Ghost系統(tǒng)盤盜版產(chǎn)業(yè)鏈存在已有二十余年的歷史�����。不法分子在盜版系統(tǒng)ISO(光盤鏡像)文件的制作�����、傳播鏈條中���,通過鎖定用戶網(wǎng)址導航站劫持搜索結果�、預裝商業(yè)軟件進行惡意推廣和內置病毒木馬竊取用戶隱私等手段�����,獲得大量的非法利潤��。
(圖:盜版Ghost系統(tǒng)產(chǎn)業(yè)獲利鏈條)
此外�����,盜版組織為保證其獲利行為不受殺毒軟件的干擾���,在制作盜版Ghost系統(tǒng)盤時����,會對操作系統(tǒng)的安全性做配置修改�����,而這些配置和修改會給系統(tǒng)留下嚴重安全隱患�。其中包含強制篡改瀏覽器相關設置,搜索結果被劫持;在系統(tǒng)預留后門���,竊取用戶敏感信息;大量盜版系統(tǒng)預裝的各種軟件��、補丁程序等未經(jīng)嚴格測試�����,影響系統(tǒng)穩(wěn)定;修改系統(tǒng)安全相關設置����,系統(tǒng)安全性降低導致感染病毒木馬幾率增加���,用戶電腦長期被遠程控制等��。
盜版Ghost系統(tǒng)帶毒概率超過90%騰訊電腦管家一鍵查殺
盜版Ghost系統(tǒng)盤最早靠生產(chǎn)盜版光盤來傳播��,隨著國家的嚴厲打擊以及光驅逐步被淘汰�,販賣盜版軟件光盤的情況幾乎消失。此后��,盜版Ghost系統(tǒng)的經(jīng)營者開始以互聯(lián)網(wǎng)為主要傳播發(fā)行渠道���,通過撰寫詳細的使用教程����,在電腦城裝機商�、社區(qū)電腦維修人員、企業(yè)IT維護人員����、電腦發(fā)燒友等IT服務人員中進行傳播,并最終影響更多的電腦用戶��。
據(jù)騰訊御見威脅情報中心分析發(fā)現(xiàn)���,260個盜版Ghost系統(tǒng)中被惡意篡改的系統(tǒng)占比達到68%���,且瀏覽器主頁被修改�、捆綁安裝未知軟件等異常情況明顯�。此外����,由于不法分子蓄意植入病毒的版本搜索位置靠前,預估普通網(wǎng)民下載到帶毒Ghost系統(tǒng)的概率或超過90%����。
(圖:帶毒Ghost系統(tǒng)異常現(xiàn)象)
盜版Ghost系統(tǒng)內置病毒影響遍布全國���,從地域上看��,其主要危害地區(qū)為山東省(15%)���、河北省(12%)、廣東省(12%)��、湖北省(10%)���。
(圖:帶毒Ghost系統(tǒng)主要危害區(qū)域)
值得關注的是����,由于盜版Ghost系統(tǒng)數(shù)量眾多,市場競爭激烈���,為最大限度獲得流量��,很多盜版Ghost經(jīng)營者擅長使用搜索引擎優(yōu)化����,甚至直接購買搜索引擎廣告來做推廣�����,并通過問答社區(qū)引流等手法進行大量傳播�。
(圖:盜版Ghost團伙購買搜索引擎關鍵字廣告)
通過對盜版Ghost系統(tǒng)的團伙的域名進行解析,御見威脅情報中心發(fā)現(xiàn)�����,用于盜版Ghost系統(tǒng)分發(fā)的域名一旦被殺毒軟件攔截����,便會啟用新域名,令查殺難度大為增加�。
(圖:近期監(jiān)測到的活躍盜版Ghost團伙)
目前�,騰訊電腦管家已第一時間提供可完美修復“雙槍2”病毒的“急救箱”工具����,用戶可至http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/FirstAidBox2_2.rar下載,解壓文件后���,雙擊運行“急救箱.exe”,遵循操作指引��,即可全面查殺“雙槍2”病毒���,保護個人電腦安全���。企業(yè)用戶可使用微軟官方提供的Windows預安裝工具包配置企業(yè)內部安裝源,避免從網(wǎng)站下載被篡改的Ghost光盤鏡像部署內網(wǎng)節(jié)點�,這會給內網(wǎng)安全帶來極大隱患。
此外�����,騰訊電腦管家安全專家建議網(wǎng)民在系統(tǒng)出現(xiàn)問題需要重裝時����,盡量選擇品牌機的專業(yè)售后服務部門���,盡量使用純凈正版Windows系統(tǒng)盤鏡像安裝,勿隨意下載被第三方修改后分發(fā)的Ghost版本���。對于有需要的個人用戶����,可使用騰訊電腦管家來檢查清理自己使用的系統(tǒng)是否存在安全問題�。
京公網(wǎng)安備 11010502041587號