裝入“瘟七”木馬的電腦系統,瀏覽器主頁和淘寶等知名購物網站就會被木馬劫持。具體中招現象包括:瀏覽器明明訪問的是taobao.com,網址後卻自動多出“pid=mm**”一串字元;上網主頁設定的是hao123或360網址導航,卻自動跳轉到一個陌生的導航網站。
360反病毒工程師介紹說,“瘟七”木馬裝機系統早在2013年就已出現,內置的木馬驅動程式也在聯網升級,intelk36.sys就是其最新變種。該木馬通過注入瀏覽器劫持網路數據,由於木馬的暴力攻擊,部分瀏覽器會出現“檔案被破壞,不是原版檔案”的彈框提示,如遇到類似提示信息,則意味著電腦已經中招。
圖1:瀏覽器遭破壞是系統感染“瘟七”木馬的中招現象之一
經分析,“瘟七”木馬驅動深入系統底層,能夠在電腦開機時搶先運行。它採用了掛鈎Windows檔案系統的“隱形”手段,絕大多數防毒軟體無法檢測到木馬的存在。如果電腦出現訪問A網址卻打開B網址,或是瀏覽器遭破壞的情況,應使用360系統急救箱“強力模式”進行查殺。
另據360安全中心監測,內置木馬的盜版Win7打著某知名裝機系統的旗號,在各大搜尋引擎的搜尋指數長期居高不下,再加上近期XP停服事件沸沸揚揚,部分XP用戶謀求升級到使用習慣更貼近XP的Win7,而正版Win7去年已經停售,這也使得盜版Win7成為木馬病毒寄生傳播的溫床。(中新網IT頻道)
