近日，有不少網(wǎng)友向騰訊電腦管家反饋，稱使用Ghost鏡像文件做過的電腦系統(tǒng)，會發(fā)現(xiàn)強行安裝各類捆綁軟件、瀏覽器自動導(dǎo)航各類促銷界面、頻繁出現(xiàn)各種彈窗廣告等一系列流氓行為。

　　經(jīng)騰訊智慧安全御見威脅情報中心檢測發(fā)現(xiàn)，Ghost鏡像文件內(nèi)含后門木馬病毒，劫持包括谷歌、火狐等在內(nèi)的23款主流瀏覽器主頁，并且能夠干擾主流殺毒軟件的正常運行。截止目前，該木馬病毒已感染上萬臺電腦。自進(jìn)入8月以來，“獨狼２”病毒呈爆發(fā)態(tài)勢，主要集中廣東、江蘇以及四川等地。

　　（圖：該病毒劫持的瀏覽器頁面）

　　安全專家介紹，該病毒屬于Rootkit系列，名為“獨狼”，最近一次出現(xiàn)在今年六月份，并持續(xù)活躍至今。由于在安裝盜版Ghost系統(tǒng)時就潛伏其中，Rootkit病毒家族可輕易獲取系統(tǒng)底層權(quán)限，阻截殺毒軟件的查殺，并隨時在用戶機器上執(zhí)行任意代碼操作。

　　從年初出現(xiàn)的“雙槍2”到6月爆發(fā)的“獨狼”病毒，Rootkit家族依靠隱蔽性強、反復(fù)感染、難以查殺的特點，給用戶帶來了極大的困擾。

　　變種后的“獨狼”Rootkit家族更加變本加厲，除了Ghost渠道傳播，還增加了假冒系統(tǒng)激活工具傳播，并且其模塊功能得到了進(jìn)一步的完善，增加自更新功能和后門功能的同時，使用的明文字符串均進(jìn)行了自定義加密。鑒于此，騰訊智慧安全御見威脅情報中心將此次發(fā)現(xiàn)的“獨狼”變種命名為“獨狼２”病毒。

　　經(jīng)分析，“獨狼２”母體為某激活工具，在搜索引擎結(jié)果頁中購買了排名第一的廣告位，以此獲得了龐大的用戶下載量。當(dāng)用戶訪問激活工具的下載站點，可發(fā)現(xiàn)多個品牌的激活工具供其下載，看似功能強大，實際上所有品牌的激活工具下載鏈接均為同一地址，下載到的文件均為由易語言編寫的Dropper木馬，啟動后會釋放出極具迷惑性的病毒文件，干擾用戶視線。

　　（圖：“獨狼”病毒植入的激活工具官網(wǎng)首頁）

　　騰訊安全反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松介紹，此類病毒木馬主要隱藏在Windows盜版激活工具中，誘導(dǎo)和欺騙用戶關(guān)閉殺毒軟件后運行，而這次傳播病毒的激活工具竟沒有激活Windows的功能。

　　（圖：騰訊電腦管家管家急救箱功能）

　　目前，越來越多的用戶逐漸重視安全和版權(quán)意識，但仍有部分用戶習(xí)慣使用激活工具、Ghost鏡像文件等盜版工具安裝電腦系統(tǒng)。對此，馬勁松建議廣大用戶使用正版操作系統(tǒng)，同時安裝并保持騰訊電腦管家等安全軟件實時開啟狀態(tài)。對于不幸中招的用戶，可使用騰訊電腦管家急救箱功能，可徹底查殺Rootkit病毒。