近日，CNCERT收到腾讯公司关于一款名为“异鬼II”的bootkit病毒在互联网上大量传播的情况报告。CNCERT及时开展监测分析，发现我国境内已有大量用户感染，对我国互联网安全构成一定的威胁。现将情况通报如下：

一、基本情况

综合CNCERT和腾讯公司已获知的样本情况和分析结果，“异鬼Ⅱ”病毒通过国内高速下载器推广，并且能够兼容XP、Win7、Win10等主流操作系统。“异鬼Ⅱ”病毒隐藏在多款正规刷机软件中，带有官方数字签名。该病毒通过一系列复杂技术潜伏在用户电脑中，具有静默安装、云端控制、隐蔽性强、难以查杀等特点。该病毒通过修改VBR（卷引导记录）长期驻留在系统中，并从云端下发功能模块到受害者电脑执行恶意行为，目前下发的模块功能主要是篡改浏览器主页、劫持导航网站、后台刷流量等，具备互联网黑产盈利特性。

二、处置建议

根据“异鬼II”的传播与感染特性，CNCERT建议用户近期采取积极的安全防范措施：

1、中毒检测方法

a）检查电脑以下目录是否存在.wav文件

C:WindowsSystem32configsystemprofileAppDataLocalMicrosoftMedia

C:Users用户名AppDataLocalMicrosoftMedia

b）检查是否存在C:windowssystem32usbsapi.dll文件

c）检查注册表是否存在以下键值

{FC70EFDD-2741-495C-9A93-42408F6878D9}un

d）注册表存在以下键值，说明已感染

HKEY_LOCAL_MACHINESoftwareClassesCLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}ex 值：1

2、不要通过下载站下载软件，如果一定要用到高速下载器，不要选择安装捆绑在下载器中的软件。

3、下载腾讯、360等安全厂商发布的腾讯电脑管家、360急救箱等工具进行“异鬼II”的查杀。