俗话说“十挂九毒”,游戏外挂捆绑病毒并不稀奇,稀奇的是竟然有病毒外挂“推销”杀毒软件。最近,一款名为“炫舞幻风”的外挂就捆绑了鬼影变种病毒,玩家运行外挂后,电脑会自动安装金山毒霸和金山卫士两款软件,而金山又无法将病毒查杀干净。
原来,金山毒霸采用推广分成模式,其推广渠道每增加一个装机量,就可以从金山收入0.4元的分成。之前不少下载站因此把页面的“高速下载”按钮指向金山毒霸,来赚钱软件推广费,病毒制作者也从中嗅到商机,利用推广杀毒软件牟取利益。
反病毒论坛分析发现,鬼影变种会感染磁盘主引导记录(MBR),因此能比操作系统提前启动,即使用户重装系统、格式化硬盘也无法将其清除。金山毒霸即便能检测到鬼影变种,点击清除后重启电脑,病毒又会通过MBR恶意代码重新感染系统。
根据小编实测,目前市面上主流安全软件大多能防住鬼影变种。但如果用户相信病毒外挂的提示而关闭了安全软件,那只有下载使用专杀工具来彻底清除鬼影变种和MBR里的病毒代码。这里推荐360系统急救箱和卡巴斯基TDSSKiller专杀工具,对于鬼影系列病毒的清除效果是比较好的。
鬼影变种病毒分析如下:
1、利用病毒外挂“炫舞幻风”捆绑传播:
2、在系统引导扇区植入病毒代码:
3、创建C:Documents and SettingsAdministratorLocal SettingsTemp下载.exe,作为下载者在系统下载安装金山毒霸和金山卫士,安装过程没有提示:
4、病毒下载者内含金山毒霸和金山卫士的官网下载地址:
5、劫持IE浏览器目录下的msimg32.dll,潜伏在IE进程里运行: