双枪木马事件

我公司安全运营监测人员通过平台监测发现多个客户单位主机存在双枪木马事件，我司技术人员已对双枪木马事件进行处置，现将此公布如下：

双枪木马介绍：

双枪木马也称DoubleGun病毒木马，是通过引诱用户从粗略的游戏门户网站安装游戏启动软件，这些门户网站以补丁的名义包含恶意代码，使木马病毒大肆传播。一旦用户下载并安装了补丁，它就会访问上述配置信息来下载一个名为“cs.dll”的文件，之后“cs.dll文件“不仅会创建一个bot ID还会将其报告给攻击者控制的服务器，而且还注入另一个驱动程序DADELn.sys来劫持系统进程。

双枪木马恶意行为：

1.用户发送广告和垃圾邮件的恶意功能，在用户设备劫持账号，并以此发送和传播广告。

2.从合法的电商网站劫持流量，并将感染用户定向引导到指定网站。

3.禁用网络安全软件。该木马会自动切断主流杀毒软件的联网功能，造成杀毒软件升级更新、下载病毒库、下载附加组件、云查杀等关键功能被破坏。尽管中毒电脑看起来似乎一切正常，但杀毒软件的安全功能已基本丧失，用户可能随时遭遇更多恶意病毒木马的袭击。

威胁事件处置方法：

1.下载腾讯电脑管家“急救箱”，查杀该病毒。

软件下载地址：https://guanjia.qq.com/sem/gj/index.html？ADTAG=media.buy.baidu.sembrand20。

2.运行电脑管家“急救箱exe”,并点击“快速急救”进行处理。

3.急救箱自动对电脑存在的风险项扫描后，“重启电脑”，并保存文件和数据。

4.电脑重启后，“开始系统急救”，电脑自动查杀系统病毒。

5.查杀完毕后，电脑正常重启，急救箱提示病毒清理成功。

• 中泊研安全技术团队通过“人+流程+数据+平台”，构建可持续安全监测和响应能力，为客户提供全方位的安全运营服务解决方案。
• 邮箱：chenfanfan@zbysec.com
• 网站：http://www.zbysec.co

原文始发于微信公众号（中泊研安全应急响应中心）：双枪木马事件