火绒肃清：金山毒霸再作恶，驱动精灵公然向用户投放后门病毒进行劫持

本人亲身体会，打不死的小强--kingsoft

驱动精灵是国内比较知名的驱动程序安装软件，不过在多年前被某资本收购后也开始越来越流氓不断地侵扰用户。

例如该软件会利用各种方式向用户捆绑安装金山毒霸和猎豹浏览器以及毒霸网址导航等猎豹移动系列的软件服务。

然而比捆绑更可恶的是驱动精灵竟然还会向用户投放后门病毒，即便在用户卸载驱动精灵后也可以继续劫持用户。

注：驱动精灵系列现在就属于猎豹移动，金山软件此前已更名为猎豹移动、猎豹移动为纽约证券交易所上市公司。

云控示意图

驱动精灵投放后门病毒被火绒查杀：

据火绒安全实验室消息，上月火绒安全对金山系或猎豹移动系的部分软件冒充其他安全软件弹广告问题进行查杀。

但火绒工程师接用户反馈称在卸载金山毒霸和驱动精灵等软件后，电脑依然会不断地弹出各种广告或被火绒报毒。

为此火绒工程师远程帮助用户进行排查后发现，驱动精灵竟然在用户卸载时故意留下后门病毒以便继续操纵用户。

而被火绒报毒的正是驱动精灵留下的这个后门病毒，驱动精灵则通过这个后门病毒可以持续性对用户进行劫持等。

检测火绒或其他安全软件进行规避

安装驱动精灵后你的电脑就不是你的了：

火绒工程师对驱动精灵投放的这个后门病毒仔细分析后发现，该后门病毒功能极其丰富可以完全掌控用户的电脑。

常规功能包括在用户卸载驱动精灵后依然可以执行软件推广、弹窗广告、流量劫持、云控锁定浏览器首页等行为。

更可怕的是驱动精灵还可以通过云端控制服务器下发任意指令，例如执行任意文件、复制或删除文件、结束进程。

甚至可以用来修改系统注册表数据或向指定窗口发送消息等，这意味着用户电脑随时面临被远程操作的安全风险。

显然用户安装驱动精灵甚至卸载驱动精灵后电脑都是用户的了，驱动精灵可以随时通过控制服务器执行任意操作。

劫持 360/搜狗/QQ 等多个浏览器主页

故意规避火绒等安全软件和主要城市：

驱动精灵投放的这个后门病毒还会自动检测用户电脑环境和地理位置，如果检测到已经安装安全软件则自动规避。

同时如果用户所在城市为主要城市例如北京、上海、深圳和广州等也会开启规避机制避免被用户发现后进行投诉。

显然这个后门程序是驱动精灵进行定制开发的用于执行恶意目的的，而不是因为某些失误而向用户投放后门病毒。

但在某些电脑上驱动精灵的恶意行为倒是没有节制，如果用户安装的是金山毒霸那驱动精灵就不会进行任何规避。

将部分主要城市排除劫持

金山系或猎豹移动系的无底线行为：

说起驱动精灵不得不提到金山毒霸或者猎豹移动，如本文开头所述驱动精灵现在与金山毒霸系列基本算是一家人。

而驱动精灵投放的这个后门病毒也真是金山毒霸的数字签名，同理金山毒霸和猎豹移动软件也会投放该后门病毒。

包括但不限于金山毒霸、猎豹浏览器、猎豹 WiFi 等众多猎豹移动系软件，这些软件会共同向用户投放该后门病毒。

火绒工程师还发现驱动精灵投放的这个后门程序，同样接收金山毒霸系列软件下发指令对用户进行各种劫持操作。

金山毒霸以其老牌安全软件的声誉获得不少用户的安装和使用，然而背地里金山毒霸就干着这些偷鸡摸狗的事儿。

金山或猎豹移动系已被多次发现劫持用户：

早在数年前火绒安全就曝光过金山或猎豹移动的相关劫持行为，然而猎豹移动对此不为所动继续对用户进行劫持。

例如在上月金山毒霸冒充 360、卡巴斯基和小红伞等向用户疯狂弹窗双 11 广告，即便被报道金山也没有任何回应。

火绒安全实验室表示该公司并非有意针对金山毒霸或是猎豹移动系列，而是这些行为确实已经触及到原则和底线。

如果不对这种行为加以制止的话受到损害的将是广大用户权益，为此上述软件继续作恶则火绒还会继续进行查杀。

附：若用户安装或卸载过驱动精灵或金山毒霸其他软件，请点击这里下载火绒专杀工具清除本文提到的后门病毒：http://down4.huorong.cn/hrkill_1.0.0.31.exe