近日，一款通過(guò)高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”在我國(guó)大肆傳播，其通過(guò)隱藏在“甜椒刷機(jī)”、“奇兔刷機(jī)”、“綠豆刷機(jī)”等知名刷機(jī)軟件中造成大量用戶感染。騰訊電腦管家第一時(shí)間攔截該病毒，并向國(guó)際互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)提交病毒情況陳訴。 7 月 29 日，國(guó)際互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《關(guān)于異鬼Ⅱ bootkit病毒有關(guān)情況的預(yù)警通報(bào)》提醒廣大用戶小心防范，并保舉使用騰訊電腦管家等安適工具查殺“異鬼Ⅱ”木馬。

　　“異鬼II”木馬技術(shù)復(fù)雜， 騰訊電腦管家率先查殺

　　早在 7 月 24 日，騰訊電腦管家率先監(jiān)測(cè)到“異鬼Ⅱ”木馬通過(guò)高速下載器大范圍傳播，而且能夠兼容XP、Win7、Win10 等主流操作系統(tǒng)，影響范圍巨大。通過(guò)分析發(fā)現(xiàn)，“異鬼Ⅱ”木馬隱藏在多款正規(guī)刷機(jī)軟件中，帶有官方數(shù)字簽名，并通過(guò)一系列復(fù)雜技術(shù)暗藏在用戶電腦中，具有靜默安置、云端控制、隱蔽性強(qiáng)、難以查殺等特點(diǎn)。該病毒通過(guò)修改VBR(卷引導(dǎo)記錄)長(zhǎng)期駐留在系統(tǒng)中，并從云端下發(fā)功能模塊到受害者電腦執(zhí)行惡意行為，目前下發(fā)的模塊功能主要是篡改瀏覽器主頁(yè)、劫持導(dǎo)航網(wǎng)站、后臺(tái)刷流量等，具備互聯(lián)網(wǎng)黑產(chǎn)盈利特性。對(duì)此，騰訊電腦管家第一時(shí)間發(fā)布安適預(yù)警，并向CNCERT等主管部門(mén)遞送了技術(shù)分析陳訴，制止病毒進(jìn)一步擴(kuò)散。

　　CNCERT建議積極防范，騰訊電腦管家推專(zhuān)殺工具

　　按照“異鬼Ⅱ”木馬的傳播與感染特性，CNCERT建議用戶近期采取積極的安適防范辦法：

　　1、中毒檢測(cè)方法

　　a)檢查電腦以下目錄是否存在.wav文件

　　C:WindowsSystem32configsystemprofileAppDataLocalMicrosoftMedia

　　C:Users用戶名AppDataLocalMicrosoftMedia

　　b)檢查是否存在C:windwossystem32usbsapi.dll文件

　　c)檢查注冊(cè)表是否存在以下鍵值

　　{FC70EFDD-2741-495C-9A93-42408F6878D9}un

　　d)注冊(cè)表存在以下鍵值，說(shuō)明已感染

　　HKEY_LOCAL_MACHINE SoftwareClassesCLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}ex 值：1

　　2、不要通過(guò)下載站下載軟件，如果必然要用到高速下載器，不要選擇安置綁縛不才載器中的軟件。

　　此外，CNCERT保舉用戶可通過(guò)騰訊電腦管家等安適工具查殺“異鬼Ⅱ”木馬。目前騰訊電腦管家已經(jīng)推出“異鬼Ⅱ”木馬專(zhuān)殺工具，，用戶可以及時(shí)下載運(yùn)行。(https://guanjia.qq.com)

　　據(jù)了解，騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中，就加強(qiáng)了對(duì)Bootkit木馬的查殺能力，云主防及病毒木馬查殺“三白”——BootClean清除技術(shù)、Rootkit通殺、系統(tǒng)急救箱的查殺能力顯著提升，可以實(shí)現(xiàn)對(duì)病毒樣本高危行為的精準(zhǔn)攔截及查殺。騰訊電腦管家提醒，發(fā)現(xiàn)電腦有異常的用戶可下載電腦管家進(jìn)行清理;除此之外，用戶應(yīng)盡量通過(guò)官方渠道下載軟件，不要通過(guò)下載站下載軟件，如果必然要用到高速下載器，安置時(shí)記得去掉不需要的保舉軟件，并注意連結(jié)騰訊電腦管家的開(kāi)啟，保障電腦安適。