下載站的高速下載器一直是惡意木馬大規模傳播的溫床。近日，騰訊電腦管家攔截到了一個通過高速下載器大范圍傳播的惡性Bootkit木馬——“異鬼Ⅱ”，其通過知名刷機軟件——“甜椒刷機”、“奇兔刷機”、“綠豆刷機”感染電腦VBR(卷引導記錄)，感染后使電腦淪為肉雞，具有篡改瀏覽器主頁、劫持導航網站、后臺刷流量等惡意行為特點，即使用戶重裝系統，也無法清除。目前，騰訊電腦管家已在第一時間查殺“異鬼Ⅱ”木馬，建議用戶及時處理。

　　多數殺軟“放行” 可遠程執行多種惡意行為

　　據騰訊安適反病毒實驗室研究發現，“異鬼Ⅱ”木馬通過國內幾大知名下載站的高速下載器推廣，而且能夠兼容Xp、Win7、Win10 等主流操作系統，影響范圍巨大。

　　值得關注的是，此次“異鬼Ⅱ”木馬之所以能大范圍傳播并非偶然。據騰訊安適反病毒實驗室安適專家介紹，一方面是因為VBR主要負責用戶電腦操作系統引導程序的加載，比Windows操作系統更早啟動，一旦VBR被感染，殺毒軟件將很難檢測出來;另一方面由于此次“異鬼Ⅱ”木馬為正規軟件公司所開發，并具有官方的數字簽名，，不少安適廠商將其加入意味著安適的“白名單”中，大多數殺毒軟件無法檢測到該病毒木馬的存在。

　　(“異鬼Ⅱ”木馬感染過程)

　　而比擬于“異鬼Ⅱ”躲避殺軟的狡猾手段，其帶來的安適威脅更是不容忽視。據悉，“異鬼Ⅱ”的作案過程通過云端控制，較為靈活。一旦用戶感染“異鬼Ⅱ”，病毒作者就可遠程執行篡改瀏覽器主頁、劫持導航網站、后臺刷流量等惡意行為。

　　重裝系統仍無法清除 近年來屢次作案

　　差別于其他的病毒木馬，用戶可以通過重裝系統來消滅隱患，“異鬼Ⅱ”木馬的隱蔽性和頑固性極強。騰訊安適反病毒實驗室安適專家指出，“異鬼Ⅱ”木馬通過感染VBR長期駐留在系統中，普通的重裝系統無法清除木馬，同時還通過底層磁盤鉤子守護惡意VBR，對抗殺軟查殺。

　　事實上，感染MBR(主引導記錄)或者VBR的Bootkit木馬近年來一直處于高度活躍狀態。據騰訊安適反病毒實驗室安適專家介紹，異鬼木馬最早發現于 2016 年 8 月，初代“異鬼”木馬通過Ghost裝機以及游戲外掛等渠道傳播，成功感染電腦后，會執行劫持用戶瀏覽器主頁和推廣安置流氓軟件等惡意行為。除此之外，剛剛過去的傳播量級逾百萬的暗云系列木馬也應用了Bootkit技術。

　　騰訊電腦管家“云主防+三白”徹底查殺“異鬼Ⅱ”木馬

　　經過驗證， 目前騰訊電腦管家已經可以實現對“異鬼Ⅱ”木馬的徹底查殺。據了解，騰訊電腦管家在 2016 年 9 月 1 日的12. 0 版本更新中，就加強了對Bootkit木馬的查殺能力，云主防及病毒木馬查殺"三白"——BootClean清除技術、Rootkit通殺、系統急救箱的查殺能力顯著提升，可以實現對病毒樣本高危行為的精準攔截及查殺。

　　騰訊安適反病毒實驗室安適專家馬勁松建議廣大用戶，由于該木馬文件有數字簽名，且被大多數安適軟件默認為信任，因此多數安適廠商還無法查殺該木馬，目前騰訊電腦管家已經能夠查殺該VBR木馬，發現電腦有異常的用戶可下載騰訊電腦管家進行清理;除此之外，盡量通過官方渠道下載軟件，不要通過下載站下載軟件，如果必然要用到高速下載器，安置時記得去掉不需要的保舉軟件，并注意連結騰訊電腦管家的開啟，保障電腦安適。