近日，騰訊電腦管家發布病毒預警，提示在部分Ghost盜版系統盤中發現極難處理的“雙槍2”病毒。此病毒會感染硬盤MBR（主引導記錄）和VBR（卷引導記錄），搶在操作系統啟動之前運行，惡意篡改用戶系統并竊取用戶隱私信息。此外，病毒釋放的驅動程序會對抗主流殺毒軟件，切斷殺毒軟件的聯網功能，導致殺毒軟件安全功能被破壞。

目前，騰訊電腦管家已緊急上線可完美修復感染“雙槍2”病毒系統的“急救箱”工具。為更好地對抗此類頑固病毒，騰訊御見威脅情報中心通過收集當前互聯網上最為流行的260個盜版Ghost系統進行安全檢測分析，深度揭秘盜版Ghost黑色產業鏈，并給出了相應的安全建議。

在盜版Ghost系統中植入病毒已成黑產常用手段

Ghost是IT維護人員常用的備份恢復工具之一，在經常幫人修電腦的網民中具有極高的知名度和使用率。國內多個軟件盜版組織制作出了種類極為繁多的Ghost系統盤，比較知名的有蕃茄花園、蘿卜花園、黑鯊裝機大師、一鍵Ghost等等。騰訊電腦管家安全專家指出，類似本次“雙槍2”病毒的作案手法，在Ghost系統中植入病毒，是盜版Ghost黑色產業最常用的贏利手段之一。

據悉，Ghost系統盤盜版產業鏈存在已有二十余年的歷史。不法分子在盜版系統ISO（光盤鏡像）文件的制作、傳播鏈條中，通過鎖定用戶網址導航站劫持搜索結果、預裝商業軟件進行惡意推廣和內置病毒木馬竊取用戶隱私等手段，獲得大量的非法利潤。

（圖：盜版Ghost系統產業獲利鏈條）

此外，盜版組織為保證其獲利行為不受殺毒軟件的干擾，在制作盜版Ghost系統盤時，會對操作系統的安全性做配置修改，而這些配置和修改會給系統留下嚴重安全隱患。其中包含強制篡改瀏覽器相關設置，搜索結果被劫持；在系統預留后門，竊取用戶敏感信息；大量盜版系統預裝的各種軟件、補丁程序等未經嚴格測試，影響系統穩定；修改系統安全相關設置，系統安全性降低導致感染病毒木馬幾率增加，用戶電腦長期被遠程控制等。

盜版Ghost系統帶毒概率超過90% 騰訊電腦管家一鍵查殺

盜版Ghost系統盤最早靠生產盜版光盤來傳播，隨著國家的嚴厲打擊以及光驅逐步被淘汰，販賣盜版軟件光盤的情況幾乎消失。此后，盜版Ghost系統的經營者開始以互聯網為主要傳播發行渠道，通過撰寫詳細的使用教程，在電腦城裝機商、社區電腦維修人員、企業IT維護人員、電腦發燒友等IT服務人員中進行傳播，并最終影響更多的電腦用戶。

據騰訊御見威脅情報中心分析發現，260個盜版Ghost系統中被惡意篡改的系統占比達到68%，且瀏覽器主頁被修改、捆綁安裝未知軟件等異常情況明顯。此外，由于不法分子蓄意植入病毒的版本搜索位置靠前，預估普通網民下載到帶毒Ghost系統的概率或超過90%。

（圖：帶毒Ghost系統異常現象）

盜版Ghost系統內置病毒影響遍布全國，從地域上看，其主要危害地區為山東省（15%）、河北省（12%）、廣東省（12%）、湖北省（10%）。

（圖：帶毒Ghost系統主要危害區域）

值得關注的是，由于盜版Ghost系統數量眾多，市場競爭激烈，為最大限度獲得流量，很多盜版Ghost經營者擅長使用搜索引擎優化，甚至直接購買搜索引擎廣告來做推廣，并通過問答社區引流等手法進行大量傳播。

（圖：盜版Ghost團伙購買搜索引擎關鍵字廣告）

通過對盜版Ghost系統的團伙的域名進行解析，御見威脅情報中心發現，用于盜版Ghost系統分發的域名一旦被殺毒軟件攔截，便會啟用新域名，令查殺難度大為增加。

（圖：近期監測到的活躍盜版Ghost團伙）

目前，騰訊電腦管家已第一時間提供可完美修復“雙槍2”病毒的“急救箱”工具，用戶可至下載，解壓文件后，雙擊運行“急救箱.exe”，遵循操作指引，即可全面查殺“雙槍2”病毒，保護個人電腦安全。企業用戶可使用微軟官方提供的Windows預安裝工具包配置企業內部安裝源，避免從網站下載被篡改的Ghost光盤鏡像部署內網節點，這會給內網安全帶來極大隱患。

此外，騰訊電腦管家安全專家建議網民在系統出現問題需要重裝時，盡量選擇品牌機的專業售后服務部門，盡量使用純凈正版Windows系統盤鏡像安裝，勿隨意下載被第三方修改后分發的Ghost版本。對于有需要的個人用戶，可使用騰訊電腦管家來檢查清理自己使用的系統是否存在安全問題。