盗版Win7内置“瘟七”木马 借XP停服疯狂感染

  5月23日,360安全中心发布木马警报称,一个名为“Win7GhostSP1装机旗舰版”的盗版系统内置木马驱动(intelk36.sys),其感染量从今年4月开始不断上升,最近已达每天上万台电脑中招,很可能与WindowsXP停止服务后部分XP电脑重装系统有关。此寄生在盗版Win7中的恶意程序也被命名为“瘟七”木马。

  装入“瘟七”木马的电脑系统,浏览器主页和淘宝等知名购物网站就会被木马劫持。具体中招现象包括:浏览器明明访问的是taobao.com,网址后却自动多出“pid=mm**”一串字符;上网主页设置的是hao123或360网址导航,却自动跳转到一个陌生的导航网站。

  360反病毒工程师介绍说,“瘟七”木马装机系统早在2013年就已出现,内置的木马驱动程序也在联网升级,intelk36.sys就是其最新变种。该木马通过注入浏览器劫持网络数据,由于木马的暴力攻击,部分浏览器会出现“文件被破坏,不是原版文件”的弹框提示,如遇到类似提示信息,则意味着电脑已经中招。

1795753701w

  图1:浏览器遭破坏是系统感染“瘟七”木马的中招现象之一

  经分析,“瘟七”木马驱动深入系统底层,能够在电脑开机时抢先运行。它采用了挂钩Windows文件系统的“隐形”手段,绝大多数杀毒软件无法检测到木马的存在。如果电脑出现访问A网址却打开B网址,或是浏览器遭破坏的情况,应使用360系统急救箱“强力模式”进行查杀。

  另据360安全中心监测,内置木马的盗版Win7打着某知名装机系统的旗号,在各大搜索引擎的搜索指数长期居高不下,再加上近期XP停服事件沸沸扬扬,部分XP用户谋求升级到使用习惯更贴近XP的Win7,而正版Win7去年已经停售,这也使得盗版Win7成为木马病毒寄生传播的温床。

1795753782w

图2:360系统急救箱查杀盗版Win7内置的“瘟七”木马

原创文章转载请注明:转载自 七行者博客

本文固定链接: http://www.qxzxp.com/4795.html

盗版Win7内置“瘟七”木马 借XP停服疯狂感染:等您坐沙发呢!

发表评论

3 + 4 =

快捷键:Ctrl+Enter