伪装360——记一次木马清除过程

今天比尔盖子早上打开电脑，发现桌面上多出了“淘宝网”的图标，Internet Explorer的位置也有些变化。于是怀疑中了恶意插件，想用批处理删除，不料完全没有作用！又仔细一看，发现开始菜单托盘处多出了“360安全卫士”，我可没装这个东西。看来是中了严重的木马了。

假IE和假"淘宝网"图标

因为本人比较懒，所以想下载一个真360干掉木马。于是用Firefox访问360.cn，无法连接！看样子是Hosts文件被修改了。

被恶意修改Hosts导致无法访问360官网

于是打算手工修复Hosts。但在比尔盖子打开文件夹选项，想“显示隐藏文件”时，发现这个选项已经不翼而飞！

“显示隐藏文件”的选项不翼而飞

没办法，只好通过“搜索”找到了Hosts文件，打开后发现病毒并不只是屏蔽了360官网，更有瑞星、卡巴斯基等等！

被恶意修改的Hosts文件，屏蔽了大量安全网站

立即将这些东西删除——希望这个木马不会自动再次修改Hosts。又下载了冰刃——对付骇客后门的好工具，果然发现了木马病毒的踪迹！

木马在D盘中，伪装成了360

立即结束进程！最后下载了360安全卫士，经过检测，结果触目惊心！

360体检结果

插件查杀结果

木马查杀结果

最后重启计算机，发现假360图标已经消失，确认木马彻底彻底清除后，卸载了360安全卫士。