在美國(guó)，Windows 10用戶一直就是基于Rootkit的廣告軟件的受害者。

廣告軟件Zacinlo對(duì)美國(guó)的微軟Windows 10用戶造成了嚴(yán)重的破壞。如果你還記得2015年Windows 10發(fā)布的時(shí)候，它最大的賣點(diǎn)之一就是安全性得到了提高，這是專門為了讓黑客程序更難在新推出的操作系統(tǒng)上站穩(wěn)腳跟而設(shè)計(jì)的。

現(xiàn)在，距羅馬尼亞老牌殺毒軟件制作商BitDefender發(fā)現(xiàn)Zacinlo已有三年的時(shí)間了。這是一種廣告軟件病毒，通過(guò)使用RootKit組件來(lái)實(shí)現(xiàn)跨操作系統(tǒng)重新安裝的持久性。當(dāng)然，RootKit漏洞對(duì)于更多過(guò)時(shí)版本的Windows來(lái)說(shuō)已不再新鮮，但這一漏洞甚至還適用于Windows 10。事實(shí)上，BitDefender發(fā)現(xiàn)，90%的受害者都使用的是Windows 10，這導(dǎo)致他們認(rèn)為這一漏洞是專門針對(duì)Windows 10用戶開(kāi)發(fā)的。

自2012年以來(lái)，Zacinlo背后的組織一直在積極地分發(fā)惡意軟件，不過(guò)它似乎在過(guò)去兩年時(shí)間中，才學(xué)會(huì)了如何瞄準(zhǔn)Windows 10用戶。Zacinlo長(zhǎng)久的存在并不意味著該組織一直在以穩(wěn)定的速度分發(fā)惡意軟件，相反，它只在2014年至2015年以及2017年至2018年兩個(gè)時(shí)間段才大幅增長(zhǎng)。

Zacinlo是如何感染W(wǎng)indows 10用戶的？

通過(guò)使用舊式的誘餌調(diào)包法。用戶認(rèn)為他們正在下載虛擬專用網(wǎng)（VPN）客戶端，但他們真正得到的是已經(jīng)受到了感染的東西。

下載器會(huì)悄無(wú)聲息地安裝不同廣告軟件組件，而這些下載器中含有分布在安裝程序中的、免費(fèi)的匿名VPN服務(wù)（s5Mark）。s5Mark擁有一個(gè)簡(jiǎn)單的圖形界面，用作不受歡迎的秘密入侵行為的誘餌。請(qǐng)注意，非技術(shù)用戶會(huì)受到誘導(dǎo)，讓他們認(rèn)為建立了VPN連接，即使這樣的事情甚至完全沒(méi)有嘗試過(guò)。

無(wú)論從什么角度來(lái)看，應(yīng)用程序的VPN部分都是無(wú)用的，但它確實(shí)實(shí)現(xiàn)了它的主要目標(biāo)：在系統(tǒng)上安裝RootKit。

RootKit對(duì)廣告軟件至關(guān)重要，因?yàn)樗梢源_保Zacinlo無(wú)限時(shí)長(zhǎng)地存活在主機(jī)上，只要它需要。

RootKit可以為其他組件提供持久性和保護(hù)，使它們不被讀取、寫入或刪除。它還被用來(lái)打補(bǔ)丁或阻止防病毒服務(wù)的正常運(yùn)行。

具體來(lái)說(shuō)，RootKit可以阻止以下反惡意軟件解決方案：

• BitDefender


• QiHoo


• Kingsoft


• MalwareBytes


• Symantec


• Panda


• HitmaPro


• Avast


• Avg


• Microsoft


• Kaspersky


• Emsisoft


• Zemana

RootKit可以通過(guò)文件名或者在證書上使用主題字段名找到解決方案，然后從一開(kāi)始就阻止它們的運(yùn)行。

Zacinlo并非僅靠一招走天下

除了RootKit之外，Zacinlo也知道一些其他的技巧。其中一個(gè)便是我們所熟悉的中間人攻擊。Zacinlo可以攔截HTTPS連接，竊聽(tīng)或操縱流量。目前，Zacinlo主要是使用這一功能來(lái)注入廣告，但毫無(wú)疑問(wèn)，這一功能可以被用于更邪惡的目的。

除此之外，嫉妒也是一個(gè)問(wèn)題。Zacinlo可以識(shí)別和刪除其他競(jìng)爭(zhēng)性的廣告軟件。它還可以運(yùn)行無(wú)頭版的Google Chrome，在那里它可以加載網(wǎng)頁(yè)并進(jìn)行點(diǎn)擊，這樣它背后的黑客就能產(chǎn)生收入。

它還收集了大量關(guān)于你和你使用電腦的方式的信息。它甚至可以對(duì)屏幕進(jìn)行截屏。

“這一功能對(duì)隱私有很大的影響，因?yàn)檫@些屏幕截圖可能包含一些敏感信息，如電子郵件、即時(shí)消息或電子銀行會(huì)話?！?/p>

最重要的是，Zacinlo可以自我更新，在此過(guò)程中增加一些功能，讓它變得更加煩人和令人毛骨悚然。

我怎樣才能擺脫掉Zacinlo呢？

到目前為止，這是一種測(cè)試反病毒/反惡意軟件解決方案的好方法。

“由于rootkit驅(qū)動(dòng)程序可以篡改操作系統(tǒng)和反惡意軟件解決方案，所以最好將模式設(shè)為安全模式，并進(jìn)行掃描操作，而不是正常運(yùn)行它?！?/p>

是的，以救援模式或安全模式啟動(dòng)機(jī)器，然后運(yùn)行安全程序。如果它能識(shí)別出它，你應(yīng)該能夠刪除它，然后繼續(xù)你的生活。

如果不能，也許可以找到一個(gè)新的安全解決方案。