近期不少
网友反映,电脑桌面莫名其妙出现了一个“皓龙天气”,且难以卸载,同时浏览器主页被篡改为www.hao123.com/?tn=91854872_hao_pg。根据工程师分析,“皓龙天气”在电脑植入木马驱动,强制篡改主页获取推广费,360安全卫士已率先查杀此木马。经过360反病毒工程师调查分析,“皓龙天气”通过一些不良软件静默捆绑安装:首先,“皓龙天气”在系统植入木马驱动Acceler.sys和vparam.bin(经过加密的数据文件);之后,Acceler.sys会对vparam.bin进行解密并在内存中加载,由vparam.bin生成的木马下载者联网下载运行一个专门劫持主页的木马;最后,劫持主页木马运行在内存中,木马向系统注册进程回调,当发现浏览器进程创建时,修改进程命令行,后面带推广参数,导致用户浏览器被恶意劫持。“皓龙天气”的木马驱动Acceler.sys具备有效的数字签名(相当于软件的身份证),签名信息为“重庆速迈科技有限公司”,导致绝大多数杀毒软件将其误认为合法程序。如果受害用户仅仅卸载“皓龙天气”,而不清除其木马驱动,上网主页仍然会出现被篡改现象。目前,360安全卫士和360杀毒已率先实现了对“皓龙天气”的全面查杀,可以帮助用户彻底清除“皓龙天气”并修复主页。
时间: 2024-11-10 05:26:41