信息來源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

        近日，CNCERT收到騰訊公司關(guān)于一款名為“異鬼II”的bootkit病毒在互聯(lián)網(wǎng)上大量傳播的情況報(bào)告。CNCERT及時(shí)開展監(jiān)測(cè)分析，發(fā)現(xiàn)我國(guó)境內(nèi)已有大量用戶感染，對(duì)我國(guó)互聯(lián)網(wǎng)安全構(gòu)成一定的威脅?，F(xiàn)將情況通報(bào)如下：

一、基本情況

        綜合CNCERT和騰訊公司已獲知的樣本情況和分析結(jié)果，“異鬼Ⅱ”病毒通過國(guó)內(nèi)高速下載器推廣，并且能夠兼容XP、Win7、Win10等主流操作系統(tǒng)?！爱惞恝颉辈《倦[藏在多款正規(guī)刷機(jī)軟件中，帶有官方數(shù)字簽名。該病毒通過一系列復(fù)雜技術(shù)潛伏在用戶電腦中，具有靜默安裝、云端控制、隱蔽性強(qiáng)、難以查殺等特點(diǎn)。該病毒通過修改VBR（卷引導(dǎo)記錄）長(zhǎng)期駐留在系統(tǒng)中，并從云端下發(fā)功能模塊到受害者電腦執(zhí)行惡意行為，目前下發(fā)的模塊功能主要是篡改瀏覽器主頁、劫持導(dǎo)航網(wǎng)站、后臺(tái)刷流量等，具備互聯(lián)網(wǎng)黑產(chǎn)盈利特性。

二、處置建議

        根據(jù)“異鬼II”的傳播與感染特性，CNCERT建議用戶近期采取積極的安全防范措施：

        1、中毒檢測(cè)方法

        a）檢查電腦以下目錄是否存在.wav文件

                C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

                C:\Users\用戶名\AppData\Local\Microsoft\Media

        b）檢查是否存在C:\windows\system32\usbsapi.dll文件

        c）檢查注冊(cè)表是否存在以下鍵值

                {FC70EFDD-2741-495C-9A93-42408F6878D9}\un

        d）注冊(cè)表存在以下鍵值，說明已感染

                HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值：1

        2、不要通過下載站下載軟件，如果一定要用到高速下載器，不要選擇安裝捆綁在下載器中的軟件。

        3、下載騰訊、360等安全廠商發(fā)布的騰訊電腦管家、360急救箱等工具進(jìn)行“異鬼II”的查殺。

        CNCERT后續(xù)將密切監(jiān)測(cè)和關(guān)注該病毒的傳播與感染情況，同時(shí)聯(lián)合安全業(yè)界對(duì)有可能出現(xiàn)的新的攻擊傳播手段、惡意樣本變種進(jìn)行跟蹤防范。請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作，如需技術(shù)支援，請(qǐng)聯(lián)系 CNCERT。電子郵箱：cncert@cert.org.cn，聯(lián)系電話：010-82990999。