鬼影病毒和浏览器锁狼狈为奸,用户浏览器遭强行劫持

据金山毒霸安全实验室监测,发现鬼影病毒变种再次高发,其中一个伪装成阿里旺旺的变种感染量就达1.6万台/天。中毒电脑桌面出现多个图标,浏览器被锁定为go2000.com或soolaa.com,反复弹广告,格式化重装后故障依旧。
图 1 仅鬼影病毒伪装成阿里旺旺的变种感染量已达1.6万/天

据金山毒霸安全专家分析,这种现象是鬼影病毒变种和流氓软件捆绑传播导致,病毒会在用户桌面生成多个垃圾图标,删除后重启会再次出现,很多用户的浏览器主页被修改为go2000.com。

2010年3月份,金山毒霸安全实验室发现第一个鬼影病毒样本,该病毒样本通过修改硬盘主引导记录(mbr),病毒运行后会反复下载各类盗号***、流氓软件,硬盘MBR被改写,会出现格式化重装也不能完成病毒清除。不久,涉嫌制造鬼影病毒的飓风软件工作室被金山毒霸安全实验室曝光,该组织随后宣称停止病毒开发,一段时间内鬼影病毒曾销声匿迹。
                  
2010年5月份,金山毒霸安全实验室发现鬼影病毒的变种出现频率变快,感染mbr的方式也在不断变化。2010年6月初,金山毒霸安全实验室发现鬼影已经已经被***广泛利用,一些资金雄厚的流氓集团通过购买包含鬼影技术的IE锁来锁定用户的主页,生成难以删除的图标,强迫用户浏览广告。使用了鬼影病毒技术使得杀毒软件或者绝大多数安全软件不能很好的清除,表面看起来已经清除,重启电脑会发现中毒现象再次出现。

鬼影病毒再次高发表明:从事计算机病毒犯罪活动的***组织所谓的承诺纯属谎言。金山毒霸安全实验室估计鬼影病毒的***技术已经扩散,预计未来会有更多变种产生。

金山毒霸安全专家建议:
1. 检查自己的电脑是否具有以下几个典型的中毒表现:
a) 中毒电脑桌面出现多个图标
b) 浏览器被锁定为www.go2000.comwww.soolaa.com
c) 反复弹广告
d) 以上现象格式化重装后故障依旧。
2. 使用金山提供的鬼影病毒专杀工具检查电脑,金山鬼影专杀工具下载地址:
http://cu003.www.duba.net/duba/tools/dubatools/guiyingfix.exe
图 2   金山鬼影病毒专杀工具

3. 安装金山毒霸2011或金山网盾3.5防范受鬼影病毒,下载地址:www.duba.net

附:鬼影病毒详细技术分析
1. 鬼影病毒传播方式
主要利用欺诈下载的方式进入用户系统,比如假冒阿里旺旺2010官方免费最新版下载
图 3   谎称阿里旺旺2010官方免费版的欺骗下载链接
图 4   欺骗下载鬼影病毒的链接已被金山网盾阻止

2. 最新鬼影病毒的一些现象(利用了下载欺诈)
a) 锁定用户主页为go2000.com、soolaa.com等网址导航网站,通过挟持用户主页的方式获得流量分成
图 5   鬼影病毒将主页锁定为go2000.com
图 6   鬼影病毒变种将主页锁定为soolaa.com
b) 桌面上出现淘宝网,美女视频,赚钱项目等广告欺诈图标,并且重启以后反复出现
图 7   中鬼影病毒之后的用户桌面多了几个图标

c) 电脑里面出现莫名奇妙的程序,比如桌面天气日历,咪咕音乐,coopen等
d) 系统出现大量陌生进程
图 8   中鬼影病毒之后,进程出现异常程序