t999主页劫持/篡改木马

用了假的小马激活,然后就是各种浏览器主页被劫持/篡改到t999.cn
和以前中过招的wmi脚本病毒不一样,这次所有浏览器的快捷方式并没有被改
但是据有的网友用进程监控看到如下
ProcessMonitor可以看到隐藏进程注入
说明了是被注入了隐藏进程,所以也不关注册表的事

Solution:
比较老的木马了,用常见的杀毒软件(开启云查杀或者更新最新的病毒库)都能查杀
我的查出来病毒是c:\windows\system32\drivers\mssafel.sys
看过一些以前的网帖说是mslmedia.sys,看来这个木马也是在与时俱进

该病毒运行后会释放并加载多个驱动,驱动加载后会隐藏自身文件,劫持网络并注入 dll 模块到指定的浏览器和杀软进程,进行浏览器劫持和杀软对抗。
引自:“黑白通吃”的浏览器劫持木马

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值