信息來源：FreeBuf

一、前言

有一類病毒木馬令中招者無比頭疼，怎么頭疼呢，就是普通網(wǎng)友一旦中招，一般的殺毒方法殺不干凈。用殺毒軟件殺不完，格式化重裝行不行？但這類病毒一般網(wǎng)友格式化重裝很快發(fā)現(xiàn)又來了。什么樣的病毒如此頑固，今天讓我們來盤一盤。

頑固病毒主要指利用計(jì)算機(jī)啟動后較早的時機(jī)獲得執(zhí)行機(jī)會，運(yùn)行在系統(tǒng)底層的Bootkit病毒及Rootkit病毒。Bootkit病毒會感染磁盤MBR、VBR，在系統(tǒng)引導(dǎo)階段就獲得執(zhí)行控制權(quán)，有啟動早，隱藏性高等特點(diǎn)。Rootkit病毒在Ring0層執(zhí)行，有著較高的權(quán)限，往往通過掛鉤磁盤鉤子，注冊回調(diào)等技術(shù)手段實(shí)現(xiàn)自保護(hù)，有與殺軟對抗激烈，變種多等特點(diǎn)。

2018年較為活躍的Bootkit/Rootkit病毒家族包括暗云、獨(dú)狼、外掛幽靈、血狐、紫狐、隱魂、雙槍、主頁保安木馬等等家族，其中下半年最為活躍的Rootkit病毒家族為獨(dú)狼家族，僅電腦管家進(jìn)行披露的獨(dú)狼家族相關(guān)的病毒感染事件就有3例，傳播渠道從獨(dú)狼一代的盜版GHOST系統(tǒng)到獨(dú)狼二代的激活工具，從主頁鎖定，刷量獲利到傳播盜號木馬，到強(qiáng)力破壞殺毒軟件功能，可謂是無惡不作。

Bootkit最為活躍的病毒家族為暗云及隱魂系列，其中暗云不僅頻繁更換C2網(wǎng)址，還首次發(fā)現(xiàn)和Mykings僵尸網(wǎng)絡(luò)進(jìn)行捆綁傳播，此外國內(nèi)廠商披露的暗云變種”隱匿者”也加入了挖礦的行列。Bootkit病毒家族隱魂最早在2017年被披露，其變種“隱蜂”最主要的變現(xiàn)方式也是挖礦。

Bootkit/Rootkit病毒傳播渠道可以分為四大類，主要包括盜版Ghost系統(tǒng)、激活工具、游戲外掛輔助及下載器、第三方流氓軟件，及通過漏洞利用弱口令爆破等傳播新方式。值得注意的是，騰訊御見威脅情報中心在不同的時間段隨機(jī)抽取了各大系統(tǒng)下載站點(diǎn)共對270個系統(tǒng)下載鏈接下的系統(tǒng)進(jìn)行檢測，發(fā)現(xiàn)預(yù)埋病毒導(dǎo)致的系統(tǒng)異常的下載鏈接共202個，異常占比高達(dá)75%。

本文主要從Bootkit/Rootkit病毒活躍家族、傳播渠道、對抗技術(shù)、典型案例四個方面盤點(diǎn)2018年病毒的主要態(tài)勢及變化。

二、2018年活躍 B(R)ootkit病毒家族盤點(diǎn)

Bootkit/Rootkit病毒依然是C端普通用戶感染后查殺難度較大的主要病毒類型，2018年較為活躍的Bootkit/Rootkit 病毒家族包括暗云、獨(dú)狼、外掛幽靈、血狐、紫狐、隱魂、雙槍、主頁保安木馬等家族。

典型的Bootkit/Rootkit病毒感染事件包括：

SQL SEVER弱口令爆破入侵，暗云，Mykings等多個病毒家族捆綁入侵傳播事件；

酷玩游戲盒子偽造知名公司數(shù)字簽名，傳播Steam盜號，獨(dú)狼Rootkit木馬事件；

“外掛幽靈”團(tuán)伙曝光 系雙槍、紫狐兩大病毒家族的幕后推手；

頁游微端《血盟榮耀》強(qiáng)鎖主頁，劫持50余個知名電商和搜索網(wǎng)站流量 等等。

騰訊御見威脅情報中心對Rootkit病毒的簽名信息進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)Rootkit病毒的簽名信息高度集中，部分簽名會被泛濫使用，其中以“上海預(yù)聯(lián)軟件技術(shù)有限公司”及“雙雙何”最為嚴(yán)重被木馬病毒使用的最為廣泛。

被病毒濫用簽名

對2018年度主要的活躍Bootkit/Rootkit進(jìn)行統(tǒng)計(jì)，其主要的變現(xiàn)獲利方式有刷流量，鎖主頁，惡意推廣，網(wǎng)絡(luò)攻擊，挖礦等。其中鎖主頁仍然是最主要的變現(xiàn)方式，占比高達(dá)35%，其次為刷流量及軟件推廣，占比30%，其中暗云，獨(dú)狼等家族其主要變現(xiàn)方式就是鎖主頁及刷量。隨著挖礦黑產(chǎn)的興起，挖礦獲利也逐漸增多(占比10%)，如“隱蜂”木馬，暗云新變種等Bootkit木馬也轉(zhuǎn)投挖礦獲利。

頑固木馬的主要獲利變現(xiàn)方式

三、B(R)ootkit病毒傳播渠道

1. 盜版Ghost系統(tǒng)

盜版Ghost系統(tǒng)長期以來一直都是病毒傳播的重要載體，更為重要的是，預(yù)埋了病毒的盜版Ghost往往利用搜索引擎廠商的廣告競價排名，使得普通網(wǎng)民在搜索“Ghost”系統(tǒng)，“win 7”，“激活工具”等相關(guān)關(guān)鍵字時顯示在搜索前幾名的絕大部分都是帶毒的系統(tǒng)，即使網(wǎng)民試圖通過搜索引擎搜索“凈化版”，展示的搜索結(jié)果仍會在靠前的位置展示內(nèi)嵌病毒的下載鏈接。

帶毒Ghost系統(tǒng)

騰訊御見威脅情報中心對各大站點(diǎn)的Ghost系統(tǒng)進(jìn)行了檢測發(fā)現(xiàn)有幾個特點(diǎn)：

a. 這些盜版Ghost系統(tǒng)的下載鏈接會被頻繁的更換，其主要目的是為了躲避安全廠商對這些下載鏈接的報毒提示；

b. 這些帶毒的系統(tǒng)絕大部分會利用搜索引擎廣告進(jìn)行推廣。由于國內(nèi)軟件使用習(xí)慣等原因，普通網(wǎng)民獲得這些安裝系統(tǒng)的主要途徑就是網(wǎng)上搜索，這導(dǎo)致了有重裝系統(tǒng)剛需的用戶有極大概率會下載這些存在風(fēng)險的系統(tǒng)而成為受害者；

c. 提供這些Ghost系統(tǒng)的網(wǎng)站基本都在顯要位置推帶毒系統(tǒng)下載。

騰訊御見威脅情報中心在不同的時間段隨機(jī)抽取了各大系統(tǒng)下載站點(diǎn)共對270個系統(tǒng)下載鏈接下的系統(tǒng)進(jìn)行檢測，發(fā)現(xiàn)預(yù)埋病毒導(dǎo)致的系統(tǒng)異常的下載鏈接共202個，異常占比高達(dá)75%，這里的系統(tǒng)異常指由于系統(tǒng)預(yù)埋病毒導(dǎo)致的主頁被鎖定，暗刷流量，流氓推裝其他軟件等系統(tǒng)異常問題。

異常系統(tǒng)占比

部分問題下載鏈接及站點(diǎn)

盜版Ghost系統(tǒng)已成病毒傳播溫床，重要的原因是其背后存在利益驅(qū)動。首先是盜版Ghost系統(tǒng)通過廣告競價排名獲得網(wǎng)絡(luò)訪問量以吸引用戶下載安裝，隨后Ghost系統(tǒng)中預(yù)裝病毒，最終實(shí)現(xiàn)軟件推廣安裝，劫持主頁等手段進(jìn)行獲利。獲利之后再繼續(xù)加大推廣力度，形成一個完整的閉環(huán)產(chǎn)業(yè)鏈。

鑒于盜版Ghost系統(tǒng)，各類激活工具已長期頻繁地被病毒團(tuán)伙利用傳播，建議網(wǎng)民盡量使用正版軟件。

病毒獲利鏈

2. 盜版激活工具、游戲外掛及各類下載器

游戲外掛，各類輔助工具也是病毒傳播的重要載體，其目標(biāo)為游戲玩家，而傳播這些外掛輔助工具的主要是各大外掛網(wǎng)站，包括七哥輔助網(wǎng)（www.52wzlt.cn）、我愛輔助網(wǎng)（www.50fzw.com）、屠城社區(qū)等多個游戲輔助網(wǎng)站。

經(jīng)常被用于和病毒打包捆綁傳播的外掛輔助工具包括荒野設(shè)備解封器、單板方框透視、DNF夢幻裝備、帝王破解版等。2018年披露的通過外掛輔助進(jìn)行傳播的Rootkit/Bootkit包括雙槍木馬，紫狐，外掛幽靈等病毒家族。

流行的帶毒游戲外掛、輔助工具

2018年，被用于傳播病毒的激活工具中最活躍的莫過于小馬激活工具。激活工具有多個變種，打著win7 激活、系統(tǒng)激活、office激活的名義，換各種馬甲傳播，病毒文件往往和激活工具捆綁打包，運(yùn)行后便會染毒。獨(dú)狼2代就是主要通過激活工具進(jìn)行傳播。

小馬激活工具

3. 第三方流氓軟件

除了前面提到的的盜版Ghost系統(tǒng)、激活工具、下載器等傳播渠道，第三方流氓軟件也是Rootkit/Bootkit病毒的重要傳播渠道。

第三方流氓軟件的主要特點(diǎn)是，這些軟件往往都是用戶主動去進(jìn)行下載安裝，看起來和正常的軟件沒什么區(qū)別，都有完整的安裝及展示界面，但是這些軟件卻神不知鬼不覺地往用戶電腦機(jī)器上安裝病毒文件，這類傳播渠道往往有隱秘性，看起來像“正規(guī)”商業(yè)軟件，用大量網(wǎng)民使用。

這類傳播渠道的病毒感染安裝主要有兩種方式，一種是安裝完軟件后并不會馬上感染病毒，而是過一段時候后通過云端控制或者軟件升級的方式下載安裝病毒，另一種方式是病毒和軟件捆綁安裝。

這類傳播渠道已成為病毒傳播的重要推手，僅僅在2018年下半年，經(jīng)電腦管家首先進(jìn)行披露的利用第三方流氓軟件傳播Rootkit/Bootkit病毒的就有主頁保安、血盟榮耀微端、護(hù)眼小秘書、酷玩游戲盒、桌面助手等軟件。

護(hù)眼秘書、血盟榮耀展示界面

4. 利用漏洞、弱口令爆破等傳播新方式

通過弱口令爆破，漏洞利用成功后進(jìn)行投毒，以前這類病毒傳播入侵方式更多的是集中于B端企業(yè)用戶。但近年來隨著挖礦病毒、勒索病毒的興起，挖礦勒索等病毒為了增加查殺難度，獲得更早的執(zhí)行機(jī)會，也會和Rootkit/Bootkit這類頑固病毒進(jìn)行捆綁傳播。

其中最為典型的案例如，暗云木馬和Mykings僵尸網(wǎng)絡(luò)捆綁傳播，由于暗云木馬在系統(tǒng)引導(dǎo)階段之前就獲得了執(zhí)行機(jī)會，其執(zhí)行時機(jī)要比操作系統(tǒng)還要早，這就大大增加了查殺成本和難度，在這次傳播事件中，首先是通過SQL SEVER弱密碼進(jìn)行爆破，爆破成功后投放暗云木馬、Mykings僵尸病毒，隨后Mykings僵尸病毒會利用多種漏洞在內(nèi)網(wǎng)主動擴(kuò)散，永恒之藍(lán)、Telnet爆破、FTP爆破等都是病毒傳播者最慣用的伎倆。

入侵傳播方式

嘗試SQLSEVER弱密碼爆破

四、對抗技術(shù)升級盤點(diǎn)

1. 攔截過濾

Rootkit病毒往往會注冊各種各樣的回調(diào)，或者h(yuǎn)ook系統(tǒng)相關(guān)函數(shù)，以在合適的時間點(diǎn)獲得執(zhí)行機(jī)會，在回調(diào)函數(shù)中完成相關(guān)的攔截過濾功能。以獨(dú)狼一代為例，獨(dú)狼系列病毒家族可以說是病毒高難度對抗的集大成者，這是一個過濾型驅(qū)動，具有完善的過濾架構(gòu)，攔截過濾點(diǎn)包括文件過濾、網(wǎng)絡(luò)過濾等，下圖為過濾點(diǎn)及其使用的技術(shù)，及影響風(fēng)險。

獨(dú)狼Rootkit過濾點(diǎn)

2. 對抗殺軟

Bootkit/Rootkit病毒為了躲避殺軟查殺，對抗技術(shù)手段有很多，常見的一些對抗手段如下：

道高一尺魔高一丈，殺毒軟件和頑固病毒的對抗是一個持續(xù)性的過程，每當(dāng)病毒用一種新的方法來躲避或者繞過殺毒軟件查殺的時候，很快殺毒軟件也會升級查殺能力對新病毒進(jìn)行查殺。走投無路了病毒也會放出大招，比如強(qiáng)制重啟電腦以阻斷查殺過程。

2018年電腦管家披露的主頁保安病毒就使用了這種強(qiáng)對抗手段來躲避查殺，其主要邏輯為木馬會不斷的檢查系統(tǒng)啟動組注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder下的List鍵值，系統(tǒng)默認(rèn)該鍵值第一項(xiàng)為SystemReserved，如果檢查到啟動組第一項(xiàng)不是System Reserved則暴力重啟電腦，通過OUT指令直接寫IO端口0×64實(shí)現(xiàn)強(qiáng)制重啟，往64號端口寫入0xFE后電腦強(qiáng)制重啟以阻斷殺毒軟件查殺

暴力重啟電腦

設(shè)備占坑

3. 自保護(hù)

這里提到的自保護(hù)主要指病毒為了防止被用戶發(fā)現(xiàn)，或被安全研究人員分析透徹，往往會通過一些技術(shù)手段來保護(hù)自身以加大被發(fā)現(xiàn)或被分析的難度。

最常見的自保護(hù)對象是病毒文件及對應(yīng)的注冊表項(xiàng)。注冊表的保護(hù)主要是通過注冊cmpcallbakck回調(diào)來完成，通過阻止或者隱藏自身注冊表以達(dá)到自保護(hù)的目的。病毒文件的保護(hù)也是通過底層的文件鉤子來實(shí)現(xiàn)。此外為了防止被ARK等分析工具發(fā)現(xiàn)往往會隱藏自身的模塊信息。

隱藏模塊信息

Bootkit的自保護(hù)主要是保護(hù)自身的MBR或者VBR感染代碼及payload不被發(fā)現(xiàn)，比如暗云木馬會根據(jù)磁盤類型和操作系統(tǒng)替換DriverStartIo、 AtapiHwStartIo、RaUnitStartIo等函數(shù)，實(shí)現(xiàn)阻止其他程序讀取磁盤1-3F 扇區(qū)（MBR）。當(dāng)檢測到讀MBR時， 返回一個構(gòu)造好的正常的MBR作欺騙，檢測到寫MBR時，則直接pass該操作。

MBR保護(hù)掛鉤邏輯

五、典型案例

2018年下半年最為活躍的Rootkit病毒家族為獨(dú)狼家族，僅騰訊電腦管家進(jìn)行批露的獨(dú)狼家族相關(guān)的病毒感染事件就有3例，傳播渠道從獨(dú)狼一代的盜版GHOST系統(tǒng)到獨(dú)狼二代的激活工具，從主頁鎖定，刷量獲利到傳播盜號木馬，到強(qiáng)力破壞殺毒軟件功能，可謂是無惡不作。

Bootkit最為活躍的病毒家族為暗云及隱魂系列，其中暗云不僅頻繁更換C2網(wǎng)址，還首次發(fā)現(xiàn)和Mykings僵尸網(wǎng)絡(luò)進(jìn)行捆綁傳播，此外國內(nèi)廠商披露的暗云變種“隱匿者”也加入了挖礦的行列。Bootkit病毒家族隱魂最早在2017年被披露，其變種“隱蜂”最主要的變現(xiàn)方式也是挖礦。

1. 獨(dú)狼Rootkit病毒家族

獨(dú)狼一代病毒家族最早由騰訊電腦管家于2018年6月披露，獨(dú)狼一代其傳播渠道主要是Ghost系統(tǒng)。騰訊御見威脅情報中心已在不同的Ghost系統(tǒng)中捕獲到多個“獨(dú)狼”系列Rootkit，包括Jomalone系列，chanel系列，Msparser系列，Wdfflk系列，在不同的Ghost系統(tǒng)里會以固定的服務(wù)名(如Jomalone)啟動，每個系列有多個變種。

獨(dú)狼系列其PDB信息都是PASS Through.pdb（過濾），都是一個過濾型驅(qū)動，具有完善的過濾架構(gòu)，包括文件過濾、網(wǎng)絡(luò)過濾、進(jìn)程創(chuàng)建過濾、注冊表過濾、模塊加載過濾等。這四個系列中出現(xiàn)最早的是在2017年10月。此外其簽名信息都有著高度關(guān)聯(lián)性。

參考鏈接：

盜版Ghost系統(tǒng)攜“獨(dú)狼”Rootkit來襲，鎖定瀏覽器主頁超20款

https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

獨(dú)狼系列出現(xiàn)時間文件簽信息

獨(dú)狼二代重新拓展了傳播渠道，并且各個病毒模塊功能都得到進(jìn)一步改進(jìn)，傳播渠道由單一的Ghost盜版系統(tǒng)傳播演變?yōu)榧倜跋到y(tǒng)激活工具傳播。主要通過靜默推廣安裝瀏覽器獲利，并會鎖定23款瀏覽器主頁，將瀏覽器地址欄鎖定為帶推廣渠道號的網(wǎng)址導(dǎo)航站，和獨(dú)狼一代一大區(qū)別為從純Rootkit驅(qū)動劫持首頁，轉(zhuǎn)變?yōu)閮?nèi)存解密Payload結(jié)合瀏覽器注入實(shí)現(xiàn)，此外還會靜默推裝瀏覽器

參考鏈接：

Rootkit病毒“獨(dú)狼2”假冒激活工具傳播，鎖定23款瀏覽器主頁

獨(dú)狼系列病毒靜默安裝的瀏覽器

獨(dú)狼系列最新變種，會通過“酷玩游戲盒子”、“桌面助手”、“玩玩游戲”等軟件傳播盜號木馬，該木馬累計(jì)已感染超過5萬臺電腦。軟件運(yùn)行后會首先下載偽裝成WPS的病毒，再下載安裝“獨(dú)狼”Rootkit病毒，最終進(jìn)行營銷推廣、惡意推裝更多軟件來獲利。

木馬作者疑似偽造“北京方正阿帕比技術(shù)有限公司”的相關(guān)信息，申請了正規(guī)的數(shù)字簽名，該病毒文件會下載Steam盜號木馬，因病毒程序擁有合法數(shù)字簽名導(dǎo)致多款殺毒軟件未及時查殺，這是該病毒感染超過5萬電腦的重要原因。

參考鏈接：

酷玩游戲盒子偽造知名公司數(shù)字簽名，傳播Steam盜號木馬

https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ

獨(dú)狼木馬執(zhí)行流程

2. 暗云木馬

暗云家族最早由電腦管家于2015年進(jìn)行披露，18年9月國內(nèi)安全廠商披露了暗云變種“隱匿者”轉(zhuǎn)投挖礦，病毒暴力破解用戶數(shù)據(jù)庫入侵電腦，MBR感染代碼獲得執(zhí)行后將惡意代碼注入到系統(tǒng)進(jìn)程中（winlogon或explorer進(jìn)程），最終惡意代碼會下載后門病毒到本地執(zhí)行，后門病毒會下載執(zhí)行挖礦相關(guān)病毒模塊，挖取門羅幣。

參考鏈接：

“隱匿者”病毒團(tuán)伙技術(shù)升級傳播病毒

https://www.huorong.cn/info/1536227902151.html

暗云木馬挖礦配置信息

騰訊御見威脅情報中心2018年12月監(jiān)控到暗云最新動態(tài)，和Mykings僵尸網(wǎng)絡(luò)木馬捆綁傳播，通過MS SQL SEVER弱密碼入侵用戶機(jī)器成功后會執(zhí)行遠(yuǎn)程腳本命令，遠(yuǎn)程腳本執(zhí)行后會下載多個木馬文件到本地執(zhí)行包括暗云感染器、Mykings僵尸網(wǎng)絡(luò)木馬、Mirai僵尸網(wǎng)絡(luò)木馬。和以往的暗云系列相比，主要變化包括會強(qiáng)制結(jié)束包括管家、360等殺軟進(jìn)程，隨后注入應(yīng)用層的payload會根據(jù)云端配置文件進(jìn)行主頁鎖定及下載執(zhí)行木馬病毒等功能。(參考鏈接：[5])

弱口令爆破SQL Server服務(wù)器，暗云、Mykings、Mirai多個病毒家族結(jié)伴來襲

https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

暗云配置文件

3. 隱魂木馬家族

隱魂系列最早于2017年進(jìn)行披露，和暗云系列最大區(qū)別為payload的存儲區(qū)域及hook流程有著較大差異，暗云payload存儲在3到63扇區(qū)，而隱魂系列存儲在磁盤末尾。

隱魂系列最新變種“隱蜂”其主要的變現(xiàn)方式也是挖礦，“隱蜂”挖礦木馬在R3層的框架設(shè)計(jì)比較復(fù)雜，整個R3層解壓后的模塊配置文件總數(shù)多達(dá)30+，同時引入LUA腳本引擎實(shí)現(xiàn)靈活的策略控制。

參考鏈接：

“隱蜂”來襲：全球首例Bootkit級挖礦僵尸網(wǎng)絡(luò)

https://www.freebuf.com/articles/network/173400.html

“隱魂”木馬篡改主頁分析

https://www.freebuf.com/articles/system/144792.html

隱魂木馬挖礦策略配置

4. 外掛幽靈團(tuán)伙

2018年10月騰訊御見披露了外掛幽靈團(tuán)伙，主要通過七哥輔助網(wǎng)（www.52wzlt.cn）、我愛輔助網(wǎng)（www.50fzw.com）等多個游戲輔助工具（外掛）網(wǎng)站傳播“雙槍”、“紫狐”等木馬。

這些網(wǎng)站提供的多款游戲外掛工具中被捆綁多個惡意程序，主要包括鎖主頁程序、“雙槍”病毒家族和“紫狐”木馬家族等等，兩個病毒家族影響了全國數(shù)以萬計(jì)的電腦。

參考鏈接：

“外掛幽靈”團(tuán)伙曝光 系雙槍、紫狐兩大病毒家族的幕后推手

游戲外掛捆綁的木馬

紫狐是一類利用系統(tǒng)正?！盤ending File Rename Operations”機(jī)制替換系統(tǒng)文件，實(shí)現(xiàn)開機(jī)自動啟動加載驅(qū)動（自動下載軟件）的惡意木馬，此外木馬還會會進(jìn)行多次刪除替換，來創(chuàng)建多次進(jìn)程鏈實(shí)現(xiàn)斷鏈防止查殺，木馬運(yùn)行后會聯(lián)網(wǎng)下載推廣安裝軟件來獲利。

參考鏈接：

“紫狐木馬”暴力來襲

http://www.#/n/10386.html

安裝文件

雙槍木馬是一類會感染MBR及VBR的Bootkit病毒家族，2018年8月電腦管家監(jiān)測到該家族新變種，多個外掛網(wǎng)站會傳播雙槍木馬，包括屠城社區(qū)、七哥輔助網(wǎng)等，這些網(wǎng)站提供的多款游戲外掛程序中會捆綁安裝一款名為“開心輸入法”的違規(guī)軟件，“雙槍”木馬下載器就隱藏在這款輸入法中。

中毒電腦的瀏覽器主頁被鎖定為帶有“39201”計(jì)費(fèi)編號的網(wǎng)址導(dǎo)航站，同時“雙槍”木馬變種還會在系統(tǒng)預(yù)留后門以竊取用戶敏感信息，另外會切斷主流殺毒軟件的聯(lián)網(wǎng)功能，會造成殺毒軟件升級更新、下載病毒庫、下載附加組件、云查殺等等關(guān)鍵功能均被破壞。

參考鏈接：

“雙槍”木馬專攻游戲外掛玩家，鎖定主頁強(qiáng)推開心輸入法

https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw

雙槍木馬感染流程

5. 血狐木馬

血狐木馬通過二次打包并借用第三方渠道假冒傳奇微端傳播，攜帶正規(guī)白簽名，且簽名廠商直接偽裝國內(nèi)某知名游戲公司，以此獲得渠道商的信任，并因?yàn)閾碛泻戏〝?shù)字簽名而容易欺騙殺毒軟件。

當(dāng)用戶在電腦安裝這個假冒的傳奇微端時，病毒隨即釋放安裝血狐Rootkit。當(dāng)中毒電腦用戶啟動瀏覽器訪問搜索引擎網(wǎng)站和電商網(wǎng)站時，瀏覽器URL均被劫持到含病毒作者推廣ID的鏈接，至此，中毒用戶的每次訪問，均會給病毒作者帶來傭金收入。

參考鏈接：

“血狐”病毒偽裝傳奇微端

https://mp.weixin.qq.com/s/–n1w4aV0HUNVQUObPVbhg

參考資料：

盜版Ghost系統(tǒng)攜“獨(dú)狼”Rootkit來襲，鎖定瀏覽器主頁超20款：https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ

Rootkit病毒“獨(dú)狼2”假冒激活工具傳播，鎖定23款瀏覽器主頁：https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow

酷玩游戲盒子偽造知名公司數(shù)字簽名，傳播Steam盜號木馬：https://mp.weixin.qq.com/s/mISZzxLJ5l9R__NmIatObQ

“隱匿者”病毒團(tuán)伙技術(shù)升級傳播病毒：https://www.huorong.cn/info/1536227902151.html

弱口令爆破SQL Server服務(wù)器，暗云、Mykings、Mirai多個病毒家族結(jié)伴來襲：https://mp.weixin.qq.com/s/wuWKQnxQBvSvkqpK3KaE2Q

“隱蜂”來襲：全球首例Bootkit級挖礦僵尸網(wǎng)絡(luò)：https://www.freebuf.com/articles/network/173400.html

“隱魂”木馬篡改主頁分析：https://www.freebuf.com/articles/system/144792.html

“外掛幽靈”團(tuán)伙曝光 系雙槍、紫狐兩大病毒家族的幕后推手：https://mp.weixin.qq.com/s/EyzMIjEDO2OJWyaI-3gqOw

“紫狐木馬”暴力來襲：http://www.#/n/10386.html

“雙槍”木馬專攻游戲外掛玩家，鎖定主頁強(qiáng)推開心輸入法：https://mp.weixin.qq.com/s/bnbT7nY6QeGJJS_6tVonVw

“血狐”病毒偽裝傳奇微端：https://mp.weixin.qq.com/s/–n1w4aV0HUNVQUObPVbhg