近日，一款通過高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”在我國大肆傳播，其通過隱藏在“甜椒刷機”、“奇兔刷機”、“綠豆刷機”等知名刷機軟件中造成大量用戶感染。騰訊電腦管家第一時間攔截該病毒，并向國際互聯(lián)網(wǎng)應急中心(CNCERT)提交病毒情況陳訴。 7 月 29 日，國際互聯(lián)網(wǎng)應急中心發(fā)布《關于異鬼Ⅱ bootkit病毒有關情況的預警通報》提醒廣大用戶小心防范，并保舉使用騰訊電腦管家等安適工具查殺“異鬼Ⅱ”木馬。

　　“異鬼II”木馬技術復雜， 騰訊電腦管家率先查殺

　　早在 7 月 24 日，騰訊電腦管家率先監(jiān)測到“異鬼Ⅱ”木馬通過高速下載器大范圍傳播，而且能夠兼容XP、Win7、Win10 等主流操作系統(tǒng)，影響范圍巨大。通過分析發(fā)現(xiàn)，“異鬼Ⅱ”木馬隱藏在多款正規(guī)刷機軟件中，帶有官方數(shù)字簽名，并通過一系列復雜技術暗藏在用戶電腦中，具有靜默安置、云端控制、隱蔽性強、難以查殺等特點。該病毒通過修改VBR(卷引導記錄)長期駐留在系統(tǒng)中，并從云端下發(fā)功能模塊到受害者電腦執(zhí)行惡意行為，目前下發(fā)的模塊功能主要是篡改瀏覽器主頁、劫持導航網(wǎng)站、后臺刷流量等，具備互聯(lián)網(wǎng)黑產(chǎn)盈利特性。對此，騰訊電腦管家第一時間發(fā)布安適預警，并向CNCERT等主管部門遞送了技術分析陳訴，制止病毒進一步擴散。

　　CNCERT建議積極防范，騰訊電腦管家推專殺工具

　　按照“異鬼Ⅱ”木馬的傳播與感染特性，CNCERT建議用戶近期采取積極的安適防范辦法：

　　1、中毒檢測方法

　　a)檢查電腦以下目錄是否存在.wav文件

　　C:WindowsSystem32configsystemprofileAppDataLocalMicrosoftMedia

　　C:Users用戶名AppDataLocalMicrosoftMedia

　　b)檢查是否存在C:windwossystem32usbsapi.dll文件

　　c)檢查注冊表是否存在以下鍵值

　　{FC70EFDD-2741-495C-9A93-42408F6878D9}un

　　d)注冊表存在以下鍵值，說明已感染

　　HKEY_LOCAL_MACHINE SoftwareClassesCLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}ex 值：1

　　2、不要通過下載站下載軟件，如果必然要用到高速下載器，不要選擇安置綁縛不才載器中的軟件。

　　此外，CNCERT保舉用戶可通過騰訊電腦管家等安適工具查殺“異鬼Ⅱ”木馬。目前騰訊電腦管家已經(jīng)推出“異鬼Ⅱ”木馬專殺工具，，用戶可以及時下載運行。(https://guanjia.qq.com)

　　據(jù)了解，騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中，就加強了對Bootkit木馬的查殺能力，云主防及病毒木馬查殺“三白”——BootClean清除技術、Rootkit通殺、系統(tǒng)急救箱的查殺能力顯著提升，可以實現(xiàn)對病毒樣本高危行為的精準攔截及查殺。騰訊電腦管家提醒，發(fā)現(xiàn)電腦有異常的用戶可下載電腦管家進行清理;除此之外，用戶應盡量通過官方渠道下載軟件，不要通過下載站下載軟件，如果必然要用到高速下載器，安置時記得去掉不需要的保舉軟件，并注意連結騰訊電腦管家的開啟，保障電腦安適。