正在阅读：12月安全报告：“狼人杀”病毒入侵数十万电脑12月安全报告：“狼人杀”病毒入侵数十万电脑

　　近日，腾讯电脑管家发布了《12月病毒木马安全形势报告》（以下简称报告），报告不但详细分析了可绕过国内绝大部分安全软件检测和查杀的“狼人杀”后门病毒，还公布了12月热门影视剧木马、热门节日木马等，并给出了相应的解决方案。据悉，“狼人杀”病毒极为隐藏，已经影响全国数十万用户，而腾讯电脑管家除了在行业率先发现该病毒之外，也已经首发查杀技术。

　　“狼人杀”影响数十万电脑 多种技术伪装逃避安全检测

　　日前，腾讯反病毒实验室发现一个潜伏在数十万电脑深处的内核级病毒，因其在“晚上”（合适时机）会开始运行并在下一个“白天”继续潜伏，被腾讯安全技术人员命名为“狼人杀”。该病毒通过多种技术手段隐藏并保护自身，骗过了绝大多数安全软件的检测和查杀，具有隐蔽、难检测，顽固、难查杀，云控、作恶灵活，用户难感知等特点。不仅如此，一旦用户电脑中招，该病毒的作者只需在云端按需按时下发指令，就能完全掌控用户机器，最终窃取用户的隐私文件、游戏和银行账号密码等个人数据。

（腾讯电脑管家查杀修复图）

　　经腾讯电脑管家安全技术人员分析发现，“狼人杀”病毒能作为后门潜伏于用户电脑上，运行后，会率先检测用户电脑当前运行环境，包括是否安装安全软件，以及是否为网吧机器、虚拟机和安全分析人员机器等。随后，病毒的作者会将检测结果上传到C&C服务器，试图避开价值不大且易曝光的机器，从而将被发现的几率降至最低，并针对有价值的“肉鸡”派发作恶插件。而为了进一步躲避安全软件检测，“狼人杀”病毒会通过欺骗文件系统来隐藏、保护自身。此外，该病毒的驱动启动时间设置得非常早，启动后还会将其启动路径修改为随机路径，然后随机找一个系统驱动文件拷贝到该路径（drivers\随机路径。sys），并且还会通过注册cmpcallback回调保护services下注册表项，达到干扰安全软件检测的目的。

（病毒启动后修改自身的启动路径为随机路径）

（干扰安全软件检测）

　　腾讯电脑管家安全技术人员进一步指出，“狼人杀”病毒运行后会进行网络测试，只要任何一个域名端口测通后测试就会停止，并通过该端口会连接到服务器。一旦成功连接到服务器会将机器信息，包括之前获取到的运行环境等上传，随后接收指令，通过网络下载C&C派发的主要功能插件。而“狼人杀”病毒主要功能都是通过这些插件来实现，并且能随时下载各种功能插件到本地执行，完成各种复杂功能。更为严重的是，插件下载地址、是否热启动热升级、文件类型、运行平台、宿主进程、运行权限等全部恶意行为都能进行配置。一旦完成这些行为，用户电脑将被全面攻陷，沦为“肉鸡”。目前，针对“狼人杀”病毒，腾讯电脑管家还推出了专门修复的支线版本（http://dwz.cn/4Q7ewM），广大网友可通过链接进行下载。

　　病毒木马紧跟热点 四六级考试及热门影视剧均遭波及

　　12月除了狼人杀病毒，各类影视剧、新年等热点也成为病毒木马传播借助的话题。随着网络剧《鬼吹灯之精绝古城》的热播，以及《神奇动物在哪里》及《血战钢锯岭》等热门电影的上映，网上出现了大量以其完整版命名的病毒木马文件。网友一旦下载这些病毒木马文件，便会静默安装多款流氓软件、锁定浏览器主页及疯狂乱弹广告等，严重影响了电脑的正常使用，甚至还会进行盗取用户账号、操纵电脑、实施诈骗勒索等行为。

　　此外，随着考期的临近，不法分子纷纷抓住考试节点，在网络上传播相关主题的病毒木马文件。进入12月以来，随着各类技能考试的先后展开，不法分子将目标瞄准备考人群，通过所谓的“泄题记录”、“解析视频”、“考试答案”等内容欺骗考生。春节抢票同样如此，一些病毒木马伪装成抢票软件，一旦运行，导致电脑系统乱弹广告、浏览器首页被篡改、被推装大量不必要的软件。腾讯电脑管家均在第一时间拦杀这些病毒木马，保障用户电脑安全。

　　腾讯安全反病毒实验室专家马劲松表示，不法分子利用病毒木马的作案手法不断升级，用户要增强安全防范意识，尽量从正规渠道获取相关文件及资料，不要下载陌生人分享的资源。对于安全性不明的文件，不要被诱惑性的名称误导，下载软件、观看影视剧最好通过官方正规渠道。同时要时刻开启腾讯电脑管家，并定期对电脑体检，可有效防范病毒木马的攻击。