異鬼2病毒是一款由騰訊管家攔截的到病毒，該病毒會對計(jì)算機(jī)造成非常嚴(yán)重的影響，損壞提供的內(nèi)部文件，還會導(dǎo)致電腦出現(xiàn)各種異常，甚至?xí)o用戶帶來經(jīng)濟(jì)損失， 用戶一定要主要及時(shí)防治，做好安全措施！可以來當(dāng)易網(wǎng)免費(fèi)下載預(yù)防病毒軟件！

異鬼II病毒的由來

“異鬼II”木馬技術(shù)復(fù)雜， 騰訊電腦管家率先查殺

早在7月24日，騰訊電腦管家率先監(jiān)測到“異鬼Ⅱ”木馬通過高速下載器大范圍傳播，并且能夠兼容XP、Win7、Win10等主流操作系統(tǒng)，影響范圍巨大。通過分析發(fā)現(xiàn)，“異鬼Ⅱ”木馬隱藏在多款正規(guī)刷機(jī)軟件中，帶有官方數(shù)字簽名，并通過一系列復(fù)雜技術(shù)潛伏在用戶電腦中，具有靜默安裝、云端控制、隱蔽性強(qiáng)、難以查殺等特點(diǎn)。該病毒通過修改VBR(卷引導(dǎo)記錄)長期駐留在系統(tǒng)中，并從云端下發(fā)功能模塊到受害者電腦執(zhí)行惡意行為，目前下發(fā)的模塊功能主要是篡改瀏覽器主頁、劫持導(dǎo)航網(wǎng)站、后臺刷流量等，具備互聯(lián)網(wǎng)黑產(chǎn)盈利特性。對此，騰訊電腦管家第一時(shí)間發(fā)布安全預(yù)警，并向CNCERT等主管部門遞送了技術(shù)分析報(bào)告，避免病毒進(jìn)一步擴(kuò)散。

傳播原因

一方面是因?yàn)閂BR主要負(fù)責(zé)用戶電腦操作系統(tǒng)引導(dǎo)程序的加載，比Windows操作系統(tǒng)更早啟動，一旦VBR被感染，殺毒軟件將很難檢測出來；另一方面由于此次“異鬼Ⅱ”木馬為正規(guī)軟件公司所開發(fā)，并具有官方的數(shù)字簽名，不少安全廠商將其加入意味著安全的“白名單”中，大多數(shù)殺毒軟件無法檢測到該木馬的存在。根據(jù)“異鬼Ⅱ”木馬的傳播與感染特性，CNCERT建議用戶近期采取積極的安全防范措施：

病毒預(yù)防措施

1、中毒檢測方法

a)檢查電腦以下目錄是否存在.wav文件

C:Users用戶名AppDataLocalMicrosoftMedia

C:\windows\system32\configsystemprofileAppDataLocalMicrosoftMedia

b)檢查是否存在C:windwossystem32usbsapi.dll文件

c)檢查注冊表是否存在以下鍵值

{FC70EFDD-2741-495C-9A93-42408F6878D9}un

d)注冊表存在以下鍵值，說明已感染

HKEY_LOCAL_MACHINE SoftwareClassesCLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}ex 值：1

異鬼2木馬病毒主要有以下特點(diǎn)

1.正規(guī)軟件攜帶惡意代碼：異鬼Ⅱ隱藏在正規(guī)軟件中，帶有官方數(shù)字簽名，導(dǎo)致大量安全廠商直接放行。

2.影響范圍廣：通過國內(nèi)幾大知名下載站的高速下載器推廣，并且異鬼Ⅱ能夠兼容xp、win7、win10等主流操作系統(tǒng)，影響數(shù)百萬臺用戶機(jī)器。

3.云控、靈活作惡：木馬的VBR感染模塊，以及最終實(shí)際作惡的模塊均由云端下發(fā)，作者可任意下發(fā)功能模塊到受害者電腦執(zhí)行任意惡意行為，目前下發(fā)的主要是篡改瀏覽器主頁、劫持導(dǎo)航網(wǎng)站、后臺刷流量等。

4.隱蔽性強(qiáng)、頑固性強(qiáng)：通過感染VBR長期駐留在系統(tǒng)中，普通的重裝系統(tǒng)無法清除木馬；異鬼Ⅱ還通過底層磁盤鉤子守護(hù)惡意VBR，對抗殺軟查殺。