ghost算不算盜版（騰訊安全盜版Ghost黑色產業報告）

2023-04-14 04:36:51 1

近日，騰訊電腦管家發布病毒預警，提示在部分Ghost盜版系統盤中發現極難處理的「雙槍2」病毒。此病毒會感染硬碟MBR（主引導記錄）和VBR（卷引導記錄），搶在作業系統啟動之前運行，惡意篡改用戶系統並竊取用戶隱私信息。此外，病毒釋放的驅動程序會對抗主流殺毒軟體，切斷殺毒軟體的聯網功能，導致殺毒軟體安全功能被破壞。

目前，騰訊電腦管家已緊急上線可完美修復感染「雙槍2」病毒系統的「急救箱」工具。為更好地對抗此類頑固病毒，騰訊御見威脅情報中心通過收集當前網際網路上最為流行的260個盜版Ghost系統進行安全檢測分析，深度揭秘盜版Ghost黑色產業鏈，並給出了相應的安全建議。

在盜版Ghost系統中植入病毒已成黑產常用手段

Ghost是IT維護人員常用的備份恢復工具之一，在經常幫人修電腦的網民中具有極高的知名度和使用率。國內多個軟體盜版組織製作出了種類極為繁多的Ghost系統盤，比較知名的有蕃茄花園、蘿蔔花園、黑鯊裝機大師、一鍵Ghost等等。騰訊電腦管家安全專家指出，類似本次「雙槍2」病毒的作案手法，在Ghost系統中植入病毒，是盜版Ghost黑色產業最常用的贏利手段之一。

據悉，Ghost系統盤盜版產業鏈存在已有二十餘年的歷史。不法分子在盜版系統ISO（光碟鏡像）文件的製作、傳播鏈條中，通過鎖定用戶網址導航站劫持搜索結果、預裝商業軟體進行惡意推廣和內置病毒木馬竊取用戶隱私等手段，獲得大量的非法利潤。

圖：盜版Ghost系統產業獲利鏈條

此外，盜版組織為保證其獲利行為不受殺毒軟體的幹擾，在製作盜版Ghost系統盤時，會對作業系統的安全性做配置修改，而這些配置和修改會給系統留下嚴重安全隱患。其中包含強制篡改瀏覽器相關設置，搜索結果被劫持；在系統預留後門，竊取用戶敏感信息；大量盜版系統預裝的各種軟體、補丁程序等未經嚴格測試，影響系統穩定；修改系統安全相關設置，系統安全性降低導致感染病毒木馬機率增加，用戶電腦長期被遠程控制等。

盜版Ghost系統帶毒概率超過90%騰訊電腦管家一鍵查殺

盜版Ghost系統盤最早靠生產盜版光碟來傳播，隨著國家的嚴厲打擊以及光碟機逐步被淘汰，販賣盜版軟體光碟的情況幾乎消失。此後，盜版Ghost系統的經營者開始以網際網路為主要傳播發行渠道，通過撰寫詳細的使用教程，在電腦城裝機商、社區電腦維修人員、企業IT維護人員、電腦發燒友等IT服務人員中進行傳播，並最終影響更多的電腦用戶。

據騰訊御見威脅情報中心分析發現，260個盜版Ghost系統中被惡意篡改的系統佔比達到68%，且瀏覽器主頁被修改、捆綁安裝未知軟體等異常情況明顯。此外，由於不法分子蓄意植入病毒的版本搜索位置靠前，預估普通網民下載到帶毒Ghost系統的概率或超過90%。

圖：帶毒Ghost系統異常現象

盜版Ghost系統內置病毒影響遍布全國，從地域上看，其主要危害地區為山東省（15%）、河北省（12%）、廣東省（12%）、湖北省（10%）。

圖：帶毒Ghost系統主要危害區域

值得關注的是，由於盜版Ghost系統數量眾多，市場競爭激烈，為最大限度獲得流量，很多盜版Ghost經營者擅長使用搜尋引擎優化，甚至直接購買搜尋引擎廣告來做推廣，並通過問答社區引流等手法進行大量傳播。

圖：盜版Ghost團夥購買搜尋引擎關鍵字廣告

通過對盜版Ghost系統的團夥的域名進行解析，御見威脅情報中心發現，用於盜版Ghost系統分發的域名一旦被殺毒軟體攔截，便會啟用新域名，令查殺難度大為增加。

圖：近期監測到的活躍盜版Ghost團夥

目前，騰訊電腦管家已第一時間提供可完美修復「雙槍2」病毒的「急救箱」工具，用戶可至http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/FirstAidBox2_2.rar下載，解壓文件後，雙擊運行「急救箱.exe」，遵循操作指引，即可全面查殺「雙槍2」病毒，保護個人電腦安全。企業用戶可使用微軟官方提供的Windows預安裝工具包配置企業內部安裝源，避免從網站下載被篡改的Ghost光碟鏡像部署內網節點，這會給內網安全帶來極大隱患。

此外，騰訊電腦管家安全專家建議網民在系統出現問題需要重裝時，儘量選擇品牌機的專業售後服務部門，儘量使用純淨正版Windows系統盤鏡像安裝，勿隨意下載被第三方修改後分發的Ghost版本。對於有需要的個人用戶，可使用騰訊電腦管家來檢查清理自己使用的系統是否存在安全問題。