近日，360安全中心接到用户反馈，在安装某装机盘系统后，主页被恶意篡改，无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。

去年7月，360安全中心发现了连环感染MBR和VBR的新型木马——“双枪”木马，今年4月，“双枪”木马2代出现，360对感染释放驱动行为发布分析报告。日前，360安全中心监测发现，“双枪”木马3代出现，该版本相比之前显著增强了对系统HIVE文件恶意锁定。

我们曾经对“双枪”的木马做过详细的分析：

“双枪”狙击：首例连环感染MBR和VBR的顽固木马分析

密室内的枪声！“双枪2”感染过程实录

与前两代前“双枪”一样，“双枪”木马3代主要行为也是修改MBR和VBR，然后篡改用户主页进而牟利。

驱动文件信息为:

图1

驱动时间为2018年 6 月13号。

驱动文件签名为:

图2

跟之前版本一样是多了两个volmgr.sys驱动。

图3

图4

并且拒绝了对Ntfs.sysstorport.sys读取和恢复钩子：

图5

该版本相比之前显著增强了对系统HIVE文件恶意锁定。

最后篡改用户浏览器主页为：

图6

目前360安全卫士已经支持查杀：

图7

建议用户尽量不要轻易下载来历不明的系统，下载后发现可疑情况使用360安全卫士查杀。

*本文作者：360 安全卫士，转载请注明来自 FreeBuf.COM