隐匿者黑客集团正在传播MBR病毒劫持用户电脑挖矿

火绒安全实验室自去年开始追踪的隐匿者黑客团伙目前进行技术升级后开始传播MBR病毒篡改设备引导记录。

该病毒的危害性在于被感染后会篡改系统的MBR主引导记录,然后在系统内核空间运行恶意代码与杀软对抗。

目前火绒安全实验室追踪后只发现隐匿者黑客集团使用MBR病毒感染用户设备下载挖矿类恶意软件进行挖矿。

不过黑客也在MBR病毒里留下后门可以随时下载其他病毒,例如监视用户输入记录或者开启摄像头操作等等。

挖矿收益已经超过200万元:合计挖出2867个门罗币

与杀软对抗完全以牟利为目的:

隐匿者制作的MBR病毒主要通过在内核空间执行来对抗杀软,病毒的代码被写入磁盘后即自动开启自我保护。

因此杀毒软件可以在运行后对其进行清除,但系统只要重新启动MBR病毒便会从硬盘保护区里再去复活感染。

该黑客集团主要利用MBR病毒来安装挖矿软件挖掘门罗币,恶意代码被注入到系统进程中也不易被用户发觉。

但火绒安全实验室发现该病毒其实还留着后门,攻击者可随时通过后门模块调动MBR病毒加载其他木马程序。

感染该病毒后的明显表现:

由于该病毒还会生成自签名证书劫持百度搜索,所以不少用户会出现无法打开百度搜索和不断自动刷新百度。

包括谷歌浏览器在内的多款浏览器都可能被该病毒劫持,若是用户们遇到此情况说明可能已经被该病毒感染。

病毒还被添加远程控制功能:

这种后门程序其实多半都可以被攻击者随时操作,例如这次的MBR病毒就被添加远程控制模块方便黑客接管。

也就是说在被感染该病毒后只要联网那么病毒即可上线,到时候攻击者在云端可通过MBR病毒随时操控电脑。

至于更多功能例如安装键盘记录器监视用户输入记录或者开启摄像头监视用户行为, 这些自然也都可以实现。

火绒发布专杀工具:

已经安装火绒安全的用户无需进行任何操作即可拦截和查杀该病毒,同时火绒也发布专杀工具清理MBR病毒。

对于没有安装火绒安全的用户可直接下载火绒专杀工具进行检查, 若检查到被感染该病毒则会执行清理操作。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180907B1DKCH00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券