系统还原工具被植入病毒木马 你的系统还安全吗 - 栋科技

利用激活软件、系统镜像等工具传播病毒和流氓软件的做法已是屡见不鲜，但利用系统还原工具植入病毒比较罕见。

日前，火绒安全接到用户反馈称，使用 U 深度U盘启动盘制作还原工具，但系统还原后安装的火绒安全软件遭删除。

安全专家分析后发现，该还原工具可调用病毒程序，根据不同系统环境还原系统时删除指定软件并篡改浏览器首页。

据悉，当用户使用 U 深度还原 GHOST镜像时，备份在镜像中的火绒安全等软件会直接被该还原工具利用程序删除。

该病毒程序可以分析用户环境，PE环境下则删除安全软件，非 PE 模式下则会篡改浏览器首页、修改浏览器收藏夹。

当然该病毒的作用远非如此，不仅删除用户安装的常用杀软，视频影音等软件，还会推广 360安全浏览器、爱奇艺。

还原工具早期版本中的病毒程序并非只针对性的删除火绒安全软件，很多第三方安全软件均会被直接执行删除指令。

这么做的目的是为推广同名软件做准备，从而针对争夺软件安装计费名进行牟利，且包括篡改浏览器首页和收藏夹。

尽管在新版的用 U 深度U盘启动盘中已经没有了推广捆绑等行为，然而删除第三方软件等遗留的恶意行为依旧存在。

因此，这里笔者结合火绒安全工程师的分析，提醒各位用户使用正版安全的软件对系统进行备份和还原，防止捆绑。

而在免费激活 Windows 10 等操作系统时最好使用安全无捆绑的激活工具，避免小马激活疯狂传播病毒的情境发生。