异鬼2病毒防治软件(Bootkit)

异鬼2病毒是一款由腾讯管家拦截的到病毒，该病毒会对计算机造成非常严重的影响，损坏提供的内部文件，还会导致电脑出现各种异常，甚至会给用户带来经济损失， 用户一定要主要及时防治，做好安全措施！可以来当易网免费下载预防病毒软件！

异鬼II病毒的由来

“异鬼II”木马技术复杂， 腾讯电脑管家率先查杀

早在7月24日，腾讯电脑管家率先监测到“异鬼Ⅱ”木马通过高速下载器大范围传播，并且能够兼容XP、Win7、Win10等主流操作系统，影响范围巨大。通过分析发现，“异鬼Ⅱ”木马隐藏在多款正规刷机软件中，带有官方数字签名，并通过一系列复杂技术潜伏在用户电脑中，具有静默安装、云端控制、隐蔽性强、难以查杀等特点。该病毒通过修改VBR(卷引导记录)长期驻留在系统中，并从云端下发功能模块到受害者电脑执行恶意行为，目前下发的模块功能主要是篡改浏览器主页、劫持导航网站、后台刷流量等，具备互联网黑产盈利特性。对此，腾讯电脑管家第一时间发布安全预警，并向CNCERT等主管部门递送了技术分析报告，避免病毒进一步扩散。

传播原因

一方面是因为VBR主要负责用户电脑操作系统引导程序的加载，比Windows操作系统更早启动，一旦VBR被感染，杀毒软件将很难检测出来；另一方面由于此次“异鬼Ⅱ”木马为正规软件公司所开发，并具有官方的数字签名，不少安全厂商将其加入意味着安全的“白名单”中，大多数杀毒软件无法检测到该木马的存在。根据“异鬼Ⅱ”木马的传播与感染特性，CNCERT建议用户近期采取积极的安全防范措施：

病毒预防措施

1、中毒检测方法

a)检查电脑以下目录是否存在.wav文件

C:Users用户名AppDataLocalMicrosoftMedia

C:\windows\system32\configsystemprofileAppDataLocalMicrosoftMedia

b)检查是否存在C:windwossystem32usbsapi.dll文件

c)检查注册表是否存在以下键值

{FC70EFDD-2741-495C-9A93-42408F6878D9}un

d)注册表存在以下键值，说明已感染

HKEY_LOCAL_MACHINE SoftwareClassesCLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}ex 值：1

异鬼2木马病毒主要有以下特点

1.正规软件携带恶意代码：异鬼Ⅱ隐藏在正规软件中，带有官方数字签名，导致大量安全厂商直接放行。

2.影响范围广：通过国内几大知名下载站的高速下载器推广，并且异鬼Ⅱ能够兼容xp、win7、win10等主流操作系统，影响数百万台用户机器。

3.云控、灵活作恶：木马的VBR感染模块，以及最终实际作恶的模块均由云端下发，作者可任意下发功能模块到受害者电脑执行任意恶意行为，目前下发的主要是篡改浏览器主页、劫持导航网站、后台刷流量等。

4.隐蔽性强、顽固性强：通过感染VBR长期驻留在系统中，普通的重装系统无法清除木马；异鬼Ⅱ还通过底层磁盘钩子守护恶意VBR，对抗杀软查杀。