最近一些朋友发现,访问购物网站后,网址都被加上了utm_source=union 字样的小尾巴,遇到这种问题的朋友不少都是由于下载了游民星空《求生指南》而造成的。目前,最新的nod32等杀毒软件都无法解决这个问题,下面就介绍一下木马症状和解决办法。
金山云安全中心近期拦截到“新型网购劫持木马”的传播源头——《求生指南》游戏,“新型网购劫持木马”会劫持各大购物网站,影响正常的购物流程,建议下载过该游戏的玩家及时使用金山毒霸扫描电脑。
《求生指南》的下载渠道有多个,其中,较多中招用户是从“游民星空”网站和网盘下载的。
图1.游民星空网站下载《求生指南》
图2.网盘下载《求生指南》
下载后,开始运行游戏,当点击“开始游戏”时,会弹出提示:缺少组件,诱惑用户运行HowToSurvive.exe,去加载病毒文件custsat.dll。
图3.运行游戏界面
图4.“缺少组件”弹窗
运行HowToSurvive.exe后,会发现该文件在后台偷偷创建启动项、释放文件等行为,为劫持购物网站做准备。
图5.释放文件到C盘
当玩家再次重启电脑时,木马会在后台偷偷添加了劫持各大购物网站的注册表项,若玩家此时去易迅、亚马逊、当当、拍拍等购物网站,已被劫持到病毒作者指定的网站。
图 6.易迅网被劫持
正值双11疯狂大促,建议各位游戏玩家及时用金山毒霸查杀下电脑,以免造成不必要的损失。
图7.金山毒霸一键云查杀已完美支持查杀该木马
图8.金山毒霸拦截新型网购劫持木马文件