最近一些朋友發(fā)現(xiàn)，訪問購(gòu)物網(wǎng)站后，網(wǎng)址都被加上了utm_source=union  字樣的小尾巴，遇到這種問題的朋友不少都是由于下載了游民星空《求生指南》而造成的。目前，最新的nod32等殺毒軟件都無(wú)法解決這個(gè)問題，下面就介紹一下木馬癥狀和解決辦法。

金山云安全中心近期攔截到“新型網(wǎng)購(gòu)劫持木馬”的傳播源頭——《求生指南》游戲，“新型網(wǎng)購(gòu)劫持木馬”會(huì)劫持各大購(gòu)物網(wǎng)站，影響正常的購(gòu)物流程，建議下載過該游戲的玩家及時(shí)使用金山毒霸掃描電腦。

《求生指南》的下載渠道有多個(gè)，其中，較多中招用戶是從“游民星空”網(wǎng)站和網(wǎng)盤下載的。

 
圖1.游民星空網(wǎng)站下載《求生指南》

 
圖2.網(wǎng)盤下載《求生指南》

下載后，開始運(yùn)行游戲，當(dāng)點(diǎn)擊“開始游戲”時(shí)，會(huì)彈出提示：缺少組件，誘惑用戶運(yùn)行HowToSurvive.exe，去加載病毒文件custsat.dll。

 
圖3.運(yùn)行游戲界面

 
圖4.“缺少組件”彈窗

運(yùn)行HowToSurvive.exe后，會(huì)發(fā)現(xiàn)該文件在后臺(tái)偷偷創(chuàng)建啟動(dòng)項(xiàng)、釋放文件等行為，為劫持購(gòu)物網(wǎng)站做準(zhǔn)備。

圖5.釋放文件到C盤

當(dāng)玩家再次重啟電腦時(shí)，木馬會(huì)在后臺(tái)偷偷添加了劫持各大購(gòu)物網(wǎng)站的注冊(cè)表項(xiàng)，若玩家此時(shí)去易迅、亞馬遜、當(dāng)當(dāng)、拍拍等購(gòu)物網(wǎng)站，已被劫持到病毒作者指定的網(wǎng)站。

圖 6.易迅網(wǎng)被劫持

正值雙11瘋狂大促，建議各位游戲玩家及時(shí)用金山毒霸查殺下電腦，以免造成不必要的損失。

圖7.金山毒霸一鍵云查殺已完美支持查殺該木馬

 
圖8.金山毒霸攔截新型網(wǎng)購(gòu)劫持木馬文件