盜版Ghost系統(tǒng)暗藏“雙槍2”病毒 騰訊電腦管家揭露背后黑色產(chǎn)業(yè)鏈

近日，騰訊電腦管家發(fā)布病毒預(yù)警，提示在部分Ghost盜版系統(tǒng)盤中發(fā)現(xiàn)極難處理的“雙槍2”病毒。此病毒會(huì)感染硬盤MBR(主引導(dǎo)記錄)和VBR(卷引導(dǎo)記錄)，搶在操作系統(tǒng)啟動(dòng)之前運(yùn)行，惡意篡改用戶系統(tǒng)并竊取用戶隱私信息。此外，病毒釋放的驅(qū)動(dòng)程序會(huì)對(duì)抗主流殺毒軟件，切斷殺毒軟件的聯(lián)網(wǎng)功能，導(dǎo)致殺毒軟件安全功能被破壞。

目前，騰訊電腦管家已緊急上線可完美修復(fù)感染“雙槍2”病毒系統(tǒng)的“急救箱”工具。為更好地對(duì)抗此類頑固病毒，騰訊御見威脅情報(bào)中心通過收集當(dāng)前互聯(lián)網(wǎng)上最為流行的260個(gè)盜版Ghost系統(tǒng)進(jìn)行安全檢測(cè)分析，深度揭秘盜版Ghost黑色產(chǎn)業(yè)鏈，并給出了相應(yīng)的安全建議。

在盜版Ghost系統(tǒng)中植入病毒已成黑產(chǎn)常用手段

Ghost是IT維護(hù)人員常用的備份恢復(fù)工具之一，在經(jīng)常幫人修電腦的網(wǎng)民中具有極高的知名度和使用率。國內(nèi)多個(gè)軟件盜版組織制作出了種類極為繁多的Ghost系統(tǒng)盤，比較知名的有蕃茄花園、蘿卜花園、黑鯊裝機(jī)大師、一鍵Ghost等等。騰訊電腦管家安全專家指出，類似本次“雙槍2”病毒的作案手法，在Ghost系統(tǒng)中植入病毒，是盜版Ghost黑色產(chǎn)業(yè)最常用的贏利手段之一。

據(jù)悉，Ghost系統(tǒng)盤盜版產(chǎn)業(yè)鏈存在已有二十余年的歷史。不法分子在盜版系統(tǒng)ISO(光盤鏡像)文件的制作、傳播鏈條中，通過鎖定用戶網(wǎng)址導(dǎo)航站劫持搜索結(jié)果、預(yù)裝商業(yè)軟件進(jìn)行惡意推廣和內(nèi)置病毒木馬竊取用戶隱私等手段，獲得大量的非法利潤。

　　(圖：盜版Ghost系統(tǒng)產(chǎn)業(yè)獲利鏈條)

此外，盜版組織為保證其獲利行為不受殺毒軟件的干擾，在制作盜版Ghost系統(tǒng)盤時(shí)，會(huì)對(duì)操作系統(tǒng)的安全性做配置修改，而這些配置和修改會(huì)給系統(tǒng)留下嚴(yán)重安全隱患。其中包含強(qiáng)制篡改瀏覽器相關(guān)設(shè)置，搜索結(jié)果被劫持;在系統(tǒng)預(yù)留后門，竊取用戶敏感信息;大量盜版系統(tǒng)預(yù)裝的各種軟件、補(bǔ)丁程序等未經(jīng)嚴(yán)格測(cè)試，影響系統(tǒng)穩(wěn)定;修改系統(tǒng)安全相關(guān)設(shè)置，系統(tǒng)安全性降低導(dǎo)致感染病毒木馬幾率增加，用戶電腦長期被遠(yuǎn)程控制等。

盜版Ghost系統(tǒng)帶毒概率超過90% 騰訊電腦管家一鍵查殺

盜版Ghost系統(tǒng)盤最早靠生產(chǎn)盜版光盤來傳播，隨著國家的嚴(yán)厲打擊以及光驅(qū)逐步被淘汰，販賣盜版軟件光盤的情況幾乎消失。此后，盜版Ghost系統(tǒng)的經(jīng)營者開始以互聯(lián)網(wǎng)為主要傳播發(fā)行渠道，通過撰寫詳細(xì)的使用教程，在電腦城裝機(jī)商、社區(qū)電腦維修人員、企業(yè)IT維護(hù)人員、電腦發(fā)燒友等IT服務(wù)人員中進(jìn)行傳播，并最終影響更多的電腦用戶。

據(jù)騰訊御見威脅情報(bào)中心分析發(fā)現(xiàn)，260個(gè)盜版Ghost系統(tǒng)中被惡意篡改的系統(tǒng)占比達(dá)到68%，且瀏覽器主頁被修改、捆綁安裝未知軟件等異常情況明顯。此外，由于不法分子蓄意植入病毒的版本搜索位置靠前，預(yù)估普通網(wǎng)民下載到帶毒Ghost系統(tǒng)的概率或超過90%。

　　(圖：帶毒Ghost系統(tǒng)異?，F(xiàn)象)

盜版Ghost系統(tǒng)內(nèi)置病毒影響遍布全國，從地域上看，其主要危害地區(qū)為山東省(15%)、河北省(12%)、廣東省(12%)、湖北省(10%)。

　　(圖：帶毒Ghost系統(tǒng)主要危害區(qū)域)

值得關(guān)注的是，由于盜版Ghost系統(tǒng)數(shù)量眾多，市場(chǎng)競(jìng)爭激烈，為最大限度獲得流量，很多盜版Ghost經(jīng)營者擅長使用搜索引擎優(yōu)化，甚至直接購買搜索引擎廣告來做推廣，并通過問答社區(qū)引流等手法進(jìn)行大量傳播。

　　(圖：盜版Ghost團(tuán)伙購買搜索引擎關(guān)鍵字廣告)

通過對(duì)盜版Ghost系統(tǒng)的團(tuán)伙的域名進(jìn)行解析，御見威脅情報(bào)中心發(fā)現(xiàn)，用于盜版Ghost系統(tǒng)分發(fā)的域名一旦被殺毒軟件攔截，便會(huì)啟用新域名，令查殺難度大為增加。

　　(圖：近期監(jiān)測(cè)到的活躍盜版Ghost團(tuán)伙)

目前，騰訊電腦管家已第一時(shí)間提供可完美修復(fù)“雙槍2”病毒的“急救箱”工具，用戶可至下載，解壓文件后，雙擊運(yùn)行“急救箱.exe”，遵循操作指引，即可全面查殺“雙槍2”病毒，保護(hù)個(gè)人電腦安全。企業(yè)用戶可使用微軟官方提供的Windows預(yù)安裝工具包配置企業(yè)內(nèi)部安裝源，避免從網(wǎng)站下載被篡改的Ghost光盤鏡像部署內(nèi)網(wǎng)節(jié)點(diǎn)，這會(huì)給內(nèi)網(wǎng)安全帶來極大隱患。

此外，騰訊電腦管家安全專家建議網(wǎng)民在系統(tǒng)出現(xiàn)問題需要重裝時(shí)，盡量選擇品牌機(jī)的專業(yè)售后服務(wù)部門，盡量使用純凈正版Windows系統(tǒng)盤鏡像安裝，勿隨意下載被第三方修改后分發(fā)的Ghost版本。對(duì)于有需要的個(gè)人用戶，可使用騰訊電腦管家來檢查清理自己使用的系統(tǒng)是否存在安全問題。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。