“双枪”木马病毒自我们首家发现和查杀后一直没有放弃死灰复燃,继上次360安全中心的研究员解决了藏身于“装机光盘”的“双枪3”后,我们又发现了新变异的双枪木马病毒,这次他抱上了游戏“荒野行动”外挂的大腿,这我们当然不能忍,360安全卫士已经可以团灭该木马病毒!
研究员给新的木马变种起名“双枪4”,与之前的病毒一样,这次木马的最终目的还是恶意篡改和锁定用户浏览器的主页。不同的是,一旦用户不幸中毒,“双枪4”会强制禁止电脑里所有驱动模块的加载,包括Windows系统驱动和所有的杀毒软件的驱动,这会导致用户的电脑系统异常,等用户发现却为时已晚,就连杀毒软件都无法正常安装和工作了!
我们之前对“双枪”的主要行为进行过详细的分析,感兴趣的可以访问以下链接查看:
http://www.freebuf.com/articles/system/168789.html
http://www.freebuf.com/articles/web/140113.html
下面来看看这次的病毒变种有什么新花样:
此次木马搭上的驱动更新时间为2018年 6 月30号,驱动文件的签名为:
电脑图1:驱动签名信息
图2:多出的两个volmgr.sys驱动
虽然之前的“双枪”已经很暴力了,但这次的变种不愧为升级版,直接禁止了所有驱动模块的加载,沟通渠道被切断,电脑想不异常都很难!更何况在这种情况下杀毒软件也将毫无用武之地,用户的浏览器主页会被毫不留情的被改成这样:
图3:被篡改后的浏览器主页
虽然此次“双枪4”来势汹汹,但我们不会让它为所欲为,安装了360安全卫士并一直保持开启后,你的电脑将被实时保护。但如果抱有侥幸心理,在关闭安全卫士后运行外挂之类的软件,电脑中毒的风险还是很高的。
电脑图4:360安全卫士查杀“双枪4”
如果你已经中毒了,别担心,使用360急救箱PE版本查杀是我们给你准备的另一灵丹妙药,电脑的安全问题交给我们尽可放心,但正所谓“一入外挂深似海,从此体验是路人”,游戏外挂还请谨慎下载使用。
安全卫士下载地址:
http://down.360safe.com/inst.exe
电脑