火绒安全团队日前发现某后门病毒伪装成老板键和屏幕亮度调节等工具在国内多个知名下载站进行疯狂传播。

该病毒在成功感染用户电脑后会劫持主流浏览器首页，且该病毒还在更新代码不排除未来执行更多恶意行为。

而国内这些垃圾下载站除知道捆绑和挂广告外，安全扫描形同虚设甚至标榜经过多个杀毒引擎查杀欺骗用户。

通过国内多个知名下载站传播：

火绒安全团队在分析后发现诸如2345软件大全(多特下载)、非凡软件站、PC6下载站等均在传播该后门病毒。

当用户下载执行后病毒首先会装模作样的弹窗提示用户是否愿意支持、如果愿意支持则会锁定浏览器的首页。

然而即便用户不同意被感染的电脑还是会被继续锁定主页，还会在收藏夹中生成多个网址导航的推广地址等。

对抗安全软件和虚拟机调试：

正常软件绝对不会对抗安全软件和规避虚拟机调试，而有问题的则是为避免被查所以都会采用多种规避措施。

本次火绒安全团队发现的这款后门病毒同样具备该特点，检测到安全软件后会主动采取规避措施防止被监测。

同时该后门病毒如果检测到在虚拟机中运行则不会执行恶意动作，防止触发安全软件的篡改浏览器主页监测。

同时该病毒还会连接黑产的远程服务器获取更多命令，必要时可以下发新命令在用户电脑执行更多恶意行为。

所有主流浏览器均被劫持：

根据火绒安全软件分析，几乎所有主流浏览器例如谷歌浏览器、QQ 浏览器、搜狗、百度等浏览器军被劫持。

劫持后用户即便手动修改主页也无济于事，建议浏览器主页遭到恶意锁定的用户通过火绒安全进行检测查杀。

另外如果用户正在使用以下软件请注意安全问题，以下列表是火绒安全监测到的部分携带该病毒的软件工具。