系统还原工具被植入病毒木马 你的系统还安全吗
利用激活软件、系统镜像等工具传播病毒和流氓软件的做法已是屡见不鲜,但利用系统还原工具植入病毒比较罕见。
日前,火绒安全接到用户反馈称,使用 U 深度U盘启动盘制作还原工具,但系统还原后安装的火绒安全软件遭删除。
安全专家分析后发现,该还原工具可调用病毒程序,根据不同系统环境还原系统时删除指定软件并篡改浏览器首页。
据悉,当用户使用 U 深度还原 GHOST镜像时,备份在镜像中的火绒安全等软件会直接被该还原工具利用程序删除。
该病毒程序可以分析用户环境,PE环境下则删除安全软件,非 PE 模式下则会篡改浏览器首页、修改浏览器收藏夹。
当然该病毒的作用远非如此,不仅删除用户安装的常用杀软,视频影音等软件,还会推广 360安全浏览器、爱奇艺。
还原工具早期版本中的病毒程序并非只针对性的删除火绒安全软件,很多第三方安全软件均会被直接执行删除指令。
这么做的目的是为推广同名软件做准备,从而针对争夺软件安装计费名进行牟利,且包括篡改浏览器首页和收藏夹。
尽管在新版的用 U 深度U盘启动盘中已经没有了推广捆绑等行为,然而删除第三方软件等遗留的恶意行为依旧存在。
因此,这里笔者结合火绒安全工程师的分析,提醒各位用户使用正版安全的软件对系统进行备份和还原,防止捆绑。
而在免费激活 Windows 10 等操作系统时最好使用安全无捆绑的激活工具,避免小马激活疯狂传播病毒的情境发生。