病毒预报  第八百二十三期

国家计算机病毒应急处理中心通过对互联网的监测，发现暴风激活工具15.0携带恶性病毒劫持用户浏览器主页。由于该木马运行之后会将病毒文件释放到Mlxg_km目录下面，故将其命名为麻辣香锅病毒。

分析发现，本次截获到的麻辣香锅病毒攻击手法十分隐秘。为顺利躲过系统检测，它所释放的所有病毒文件均携带伪造的数字签名。

该病毒的劫持流程为病毒作者设置了两个恶意驱动，其中KMDF_LOOK.sys通过注册minifilter，阻止浏览器进程加载安全模块，随后进程创建回调，在用户启动浏览器时通过增加命令行的方式劫持浏览器主页。而KMDF_Protect.sys则如同一个守门人，拒绝病毒进程之外的所有请求，以保护病毒文件；除此之外，还会注册一个名为Windows Mobile User Experience Server的系统服务，用于病毒升级。

针对该恶意程序所造成的危害，建议用户及时给电脑打补丁，修复漏洞，关闭不必要的端口。慎用各种激活工具，谨防其中暗藏病毒木马。同时，给电脑安装安全防护软件，以免使电脑受到该恶意程序的危害。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心