腾讯电脑管家为恶性Bootkit木马“三利剑”开发查杀软件 _病毒安全_

针对Alien Ghost 2病毒的特殊杀毒工具是专门为恶意Bootkit Trojan Alien Ghost 2开发的。它是由腾讯管理器开发的。它也是第一个可以检测并杀死Alien Ghost 2病毒的程序。 Alien Ghost 2病毒是一种恶意Bootkit木马，已传播。它通常通过高速下载器进行传播。它可以感染计算机VBR。感染后，计算机变成肉鸡。它具有篡改浏览器主页，劫持导航网站并在后台清除流量的能力。恶意行为特征，无法通过重新安装系统来删除。同时，由于它感染了VBR，因此VBR主要负责加载用户的计算机操作系统启动程序，该程序比Windows操作系统更早启动。一旦VBR被感染，防病毒软件将难以检测。此外，由于该病毒是常规软件公司，因此已开发并具有官方数字签名。许多安全厂商将其添加到意味着安全的“白名单”中。大多数防病毒软件无法检测到该病毒的存在。作为检测该病毒存在的第一款安全软件，腾讯计算机管理器增强了其检测和杀死Bootkit木马的能力。基于云的杀毒和病毒木马是“三把利剑”-清除BootClean，清除Rootkit，系统急救箱的检测和清除功能，可以精确拦截和检测高风险病毒样本的行为。此外，此特殊工具的病毒清除操作还包括修复硬盘分区表，因此存在更大的风险。建议您在使用重要文件之前将其备份到其他存储设备。

外星人2是哪种病毒？

Alien Ghost 2病毒是一种的恶意Bootkit木马。它通常通过高速下载器进行传播。它可以感染计算机VBR。感染后，计算机将变成肉鸡。它具有篡改浏览器主页，劫持导航网站和后台的功能。无法清除恶意行为特征，例如，清除流量和重新安装系统。

“ Alien Ghost II”病毒可以广泛传播并非偶然。腾讯安全反病毒实验室的安全专家表示，一方面，由于VBR主要负责加载用户的计算机操作系统启动程序，因此它比Windows操作系统更早启动。一旦VBR被感染，防病毒软件将很难检测到。另一方面，VBR被感染。一方面，由于“ Alien Ghost II”病毒是由一家常规软件公司开发的，并且具有正式的数字签名，因此许多安全厂商将其添加到“白名单”中，这意味着安全，并且大多数防病毒软件都无法检测到该病毒。 。在场。

Alien Ghost 2中毒判决

1、检查计算机的以下目录中是否存在.wav文件

C：WindowsSystem32configsystemprofileAppDataLocalMicrosoftMedia

C：Users用户名AppDataLocalMicrosoftMedia

2、检查C：windwossystem32usbsapi.dll文件是否存在

3、检查注册表中是否存在以下项

{FC70EFDD-2741-495C-9A93-42408F6878D9}取消

4、注册表中存在以下项，表明它已被感染。

HKEY_LOCAL_MACHINE SoftwareClassesCLSID {FC70EFDD-2741-495C-9A93-42408F6878D9}的值：1

更改的Ghost 2预防建议

1、尽量不要通过下载站下载软件。如果必须使用高速下载器，请记住在安装过程中删除不必要的推荐软件

2、由于木马文件具有数字签名，并且默认情况下大多数安全软件都信任该文件，因此大多数安全供应商都无法检测并杀死该木马。如果出现此病毒，则可以使用编辑器推荐此Alien 2病毒特殊查杀工具进行检查和查杀

外星人Ghost 2病毒的特征

1、常规软件带有恶意代码

Alien Ghost II隐藏在带有官方数字签名的正式软件中，这导致大量安全厂商直接发布

2、具有广泛的影响力

通过从多个国内著名下载站点推广高速下载器，YigiⅡ与xp和win 7、 win10等主流操作系统兼容，影响了数百万台用户计算机。

3、云控制，灵活地做恶事

木马的VBR感染模块以及最终实际构成邪恶的模块均由云分发。作者可以将功能模块分发到受害者的计算机上，以执行任何恶意行为。当前的发行版主要是为了篡改浏览器首页并劫持导航网站，后台刷牙流量等。

4、隐藏力强，固执感强

由于感染VBR并在系统中停留了很长时间，普通的重新安装系统无法删除该木马； Alien Ghost II还通过底层磁盘挂钩来保护恶意VBR，以对抗反软件

外星人Ghost 2病毒的感染过程和行为

一、安装软件包的行为

1.运行后，安装包将首先确定文件名是否包含“ 20174”字符，如果包含，将启动静默安装并标记注册表和互斥锁以准备感染

2.创建一个名为SamRootDetect的互斥锁，然后创建HKEY_LOCAL_MACHINESoftwareClassesCLSID {FC70EFDD-2741-495C-9A93-42408F6878D9} un注册表项

3.将所有安装文件释放到指定目录后，运行主程序TJShuaji.exe，然后睡眠20秒钟。 TJShuaji.exe在启动后会检测到互斥锁，并且仅在被检测到时才会发生感染，因此必须在20秒内启动

二、 TJShuaji.exe行为

1.检查是否存在名为SamRootDetect或OdinDetect的互斥量，或者上述字符串是否包含在命令行中。如果是，请设置感染标记

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-369911-1.html