目录
Trojan:Win32/Vigorf.A的已知特征
1.常规状态无法被Windows安全中心扫描到、无法被360安全卫士扫描到。只有在被触发后进行活动时会被Windows安全中心告警。
2.感染(联想)浏览器的缓存文件,以访问特定网站的行为作为进行活动的触发。
3.可跨浏览器感染,用不同浏览器访问特定网站会使得不同浏览器的缓存文件都被感染。
微软安全情报
微软安全情报中对Trojan:Win32/Vigorf.A的微末信息:
Trojan:Win32/Vigorf.A早在2016年就已面世。
还有让人哭笑不得的症状:
亲历事件
Windows安全中心对Trojan:Win32/Vigorf.A的第一次告警在2024/1/18的上午。
截至2024/1/20,Windows安全中心在两天内多次告警。Windows安全中心的删除操作和隔离操作对Trojan:Win32/Vigorf.A几乎没有作用,感染的文件越来越多。
使用Windows安全中心扫描,但无法扫描出Trojan:Win32/Vigorf.A;使用360安全卫士扫描,也无法扫描出Trojan:Win32/Vigorf.A。只有当Trojan:Win32/Vigorf.A活动时,才会弹出Windows安全中心对Trojan:Win32/Vigorf.A的告警。
根据告警查看被感染文件的路径:C:\Users\Lenovo\AppData\Local\Lenovo\SLBrowser\User Data\Default\Cache\Cache_Data。该路径下存放联想浏览器的缓存文件。
清空缓存文件,短时间内Windows安全中心没有再告警,但治标不治本。如果无可避免地又使用了联想浏览器上网,联想浏览器的缓存文件又会重新加载,并将最终再次检测到Trojan:Win32/Vigorf.A的活动。
单纯清除联想浏览器的缓存文件无法清除Trojan:Win32/Vigorf.A。
被Trojan:Win32/Vigorf.A感染浏览器的缓存文件后,每次使用联想浏览器访问csdn官网主页,会提示访问人数过多,需要进行拖动滑块完成拼图的验证。
验证完毕后,右下角会弹出Windows安全中心“病毒和威胁防护”的告警。
刷新页面,再次访问csdn主页,没有弹出告警;关闭页面,再次访问csdn主页,没有弹出告警;重开联想浏览器,再次访问csdn主页,弹出告警。
虽然不可思议,但Trojan:Win32/Vigorf.A进行活动的触发条件和访问csdn主页有关,于是尝试使用电脑里的其他浏览器访问csdn主页,观察是否也会被感染。
使用火狐浏览器访问csdn主页,结果火狐浏览器的缓存文件被感染:
使用360安全浏览器访问csdn的主页,结果360安全浏览器的缓存文件被感染:
多次尝试后,Trojan:Win32/Vigorf.A来了个大的:
解决方式
1.以管理员身份运行cmd,执行命令:sfc /scannow。
2.使用Windows安全中心进行快速扫描,多次重复。
3.进入360官网,下载“系统急救箱”,安装。
注意:不是下载360安全卫士,不是下载360安全卫士,不是下载360安全卫士。
360官网网址:
https://www.360.cn/download/index.html
360系统急救箱下载网址:
https://weishi.360.cn/jijiuxiang/index.html
下载界面:
安装完毕后,单击开始急救,多次重复。
4.进入卡巴斯基官网,下载“卡巴斯基病毒清除工具”,也叫“kaspersky virus removal tool”或者“kvrt“,安装。
注意:不是下载卡巴斯基,不是下载卡巴斯基,不是下载卡巴斯基。
卡巴斯基官网网址:
https://www.kaspersky.com.cn/home-security
卡巴斯基病毒清除工具下载网址:
https://www.kaspersky.com.cn/downloads/free-virus-removal-tool
下载界面:
安装完毕后,单击Start scan,多次重复。
5.卸载本地联想浏览器,进入联想浏览器官网,重装联想浏览器。
如果影响到火狐、360安全浏览器等等浏览器,需要一并重装。
验证
使用联想浏览器对csdn主页进行直接访问、刷新、关闭页面重开、关闭浏览器重开等操作,均无告警。多次重启电脑后再次进行相同操作,也均无告警。
该木马病毒基本宣告清除。
注意:部分截图为事后补充,如在cmd中执行sfc /scannow时确有修复系统,而补充的截图未还原真实情况,只供参考。
忠告:关于Trojan:Win32/Vigorf.A的来源——记得使用他人U盘时简单进行检测。