即日，金山毒霸安全实验室监控到一款名为“锁大师”的无赖软件，该软件已初步大规模逼迫挟制用户浏览器主页，暗刷流量。 “锁大师”重要经由进程软件下载器为载体中止撒播设备，预估受影响的用户量在百万等级。

图:“锁大师”以下载器为载体中止撒播

图：”锁大师”下载地址
1、 “锁大师” 可谓一个Rootkit木马隐蔽性较高
它会经由进程创建文件过滤，将自身重定向到微软的文件上(ntkemgr.sys[恶意驱动]->重定向->partmgr.sys[微软异常驱动])，这样一来肉眼看则是异常文件，恶意驱动自身不会被发现。


图：文件重定向后

图：文件过滤
2、 “锁大师”使用KeUserModeCallback 注入Ring3并拔出shellcode 中止PE文件的加载


3、“锁大师”恶意模块挟制用户浏览器主页

4、“锁大师”除挟制主页外还会恶意暗刷表白

今朝，金山毒霸安全中心从前针对“锁大师”家族的无赖软件增强了消除和进攻脚步，可使用金山毒霸有用检出和清算“锁大师”恶意软件，并能够阻拦其针对支流浏览器的恶意篡改。