近日腾讯电脑管家哈勃分析系统截获了一批新型浏览器劫持木马 ,名为“暗影鼠”。
该木马通常被打包在压缩包内,伪装成视频播放器通过网页进行传播。该木马最早出现是在今年的4月末,5月初开始小范围传播,后续开始爆发,高峰期全网中此木马用户数超过30W/每日。
作案动机:劫持流量
该木马的主要目的是对浏览器访问导航页的流量进行劫持,定向到自己的推广页,非法获取推广利润。保守估计近期木马作者以此获利总额有近百万元人民币。
作案过程:狸猫换太子
暗影鼠启动后首先释放大批子文件,之后枚举当前系统中的进程,与设定好的国内主流浏览器进程名进行对比,如果发现这些浏览器进程的存活,则杀掉相应进程,同时生成一个相应被感染的浏览器主进程的可执行文件。然后拉起这个被感染的假浏览器进程,假浏览器进程会加载之前释放的核心功能dll,然后再进行流量劫持。
原形毕露:点击文件前扫一扫
腾讯电脑管家和哈勃分析系统,均能对此木马进行100%稽核以及彻底查杀,建议您在点击文件前,先对文件进行扫描。当文件被检出有木马病毒时,应果断使用腾讯电脑管家进行查杀,以防电脑被感染。