提到流氓軟件，相信大部分電腦用戶都對其并不陌生，下載一個軟件就會自動下載無數個軟件，還會經常無緣無故彈出廣告，嚴重影響電腦使用體驗

　　提到流氓軟件，相信大部分電腦用戶都對其并不陌生，下載一個軟件就會自動下載無數個軟件，還會經常無緣無故彈出廣告，嚴重影響電腦使用體驗。電腦安全軟件哪個好用？彈窗廣告怎么徹底關閉？360安全衛士強力查殺可直接解決問題。

　　近期，360安全大腦監控到一類通過下載器進行推廣，以劫持瀏覽器主頁，推廣軟件，流氓快捷方式電腦組裝方法，廣告彈窗等方式進行牟利的病毒木馬，我們將此類木馬命名為“瘋花”木馬。

　　該木馬是典型的云控木馬，所有模塊均以云端控制，內存加載的方式執行電腦組裝方法，通過Process Hollowing的注入方式繞過安全軟件檢測i問財官網電腦版。通過GetSystemMetrics()實現了一個應用層的關機回調，并在關機回調中回寫木馬文件和注冊表，繞過部分殺軟的主動防御功能i問財官網電腦版。瘋花木馬整體病毒流程如下圖：

　　當攜帶木馬的下載器被運行后，會將瘋花木馬的主控模塊注入到svchost.exe進程中執行，主要包含兩個病毒線程，一個通過云控加載劫持模塊，另一個注冊關機回調，回寫病毒文件和注冊表項：

　　通過云控下載執行相應的惡意組件，云控的配置跟下載的組件均經過加密存儲，下圖是下載云控配置并進行解析的代碼片段：

　　通過GetSystemMetrics實現應用層關機回調電腦組裝方法，并在關機回調時回寫病毒文件和注冊表：

　　自啟動模塊會檢查進程名跟命令行是否為sens服務，若不是則不會執行病毒邏輯，反之則會通過進程hollowing的方式啟動主控模塊：

　　主控以同樣的方式啟動盈利模塊，盈利模塊包含篡改瀏覽器主頁i問財官網電腦版，推廣軟件，流氓快捷方式等進行牟利，配置文件中包含一些對于環境的判斷條件，如fbarea字段存在，會檢測北京，上海，廣州，深圳等一線城市，并繞過電腦組裝方法。劫持瀏覽器主頁的配置如下：

　　電腦安全軟件哪個好用？彈窗廣告怎么徹底關閉？下載360安全衛士即可從根本上解決問題，如若再次遇到流氓軟件，360安全衛士會警告用戶并進行立即攔截隔離，防止流氓軟件“扎根”電腦i問財官網電腦版，無疑更為安全。

免責聲明：本站所有信息均搜集自互聯網，并不代表本站觀點，本站不對其真實合法性負責。如有信息侵犯了您的權益，請告知，本站將立刻處理。聯系QQ：1640731186

報紙版面截圖。