近日不少用户反馈电脑上会自动弹出最热搜的广告弹窗，关掉之后不久又会接着弹出，即使把广告进程文件删除了也会被反复释放出来。腾讯电脑管家分析发现，弹出广告的是一个名为mini.lohaslady.exe的广告弹窗木马进程，该广告木马由独狼木马家族进行传播释放。独狼木马家族为Rootkit病毒，已被腾讯电脑管家多次披露，至今依然十分活跃。

“最热搜”的广告弹窗

独狼木马其主要功能是在Ring0层实现自保护及开机自启动，注入应用层后根据配置文件下载更多木马文件并执行。如注入exprorer进程，在appdata\local\temp目录创建一随机名文件夹，根据配置文件desktop.ini里的内容下载多个木马文件。 

目前，独狼Rootkit木马配置文件里下载回来的主要是广告弹窗木马及盗号木马，其中mini.lohaslady.exe就是最热搜广告弹窗木马。 

除了下载运行广告弹窗及盗号木马，独狼病毒家族还会通过锁定多款浏览器主页来牟利，主页锁定的信息在配置文件browul字段进行配置，不同的浏览器可以配置成锁定不同的主页。其中360se ,360chrome锁定主页为3603.kuaify.com，IE、QQ浏览器锁定为ie3.kuaify.com, 2345等其他浏览器锁定为qt3.kuaify.com(最终会跳转到推广id为23024-0098的2345网址导航首页)

中毒电脑主页被锁定为带推广ID的网址导航站

独狼木马家族其传播渠道主要是外挂、破解激活工具、盗版ghost系统，Rootkit病毒具有极强的自保护对抗能力，包括阻止主流杀软驱动加载，阻断联网等，电脑管家曾多次分析披露过独狼木马家族，可参考后文中的链接。

对抗杀软 

用户可以用电脑管家的软件弹窗拦截功能进行自定义拦截多种广告弹框，打开工具箱里的软件弹窗拦截，选择自定义截图拦截即可。

使用管家的软件弹窗拦截对付广告弹窗

安全建议

1.建议用户尽量不用破解激活工具，各种破解激活工具已成为非常重要的病毒传播渠道。 

2.开启杀毒软件的实时保护功能，如果破解激活工具被杀毒软件报警，应直接删除该工具，不再使用。 

3.如果已不幸中招，可以使用腾讯电脑管家进行病毒查杀。 

IOC:

MD5:

b5b5f51c2514fc1794a50ac577e22f54

dfda36870451e0290594156c5a9df015

4eee1d0245c5bf6e896c9283b7ff4adc

8464e5f5dea679ba95cfa6d06a0fcaa5

665b8ef2416796932fd152d9a0dac611

525c058fb55f5437e875bc4a89f36844

dfda36870451e0290594156c5a9df015

a0d6a1065fa6e3199e95d36677f922ff

998a3a49362ca4e16668d0c88212bc79

URL：

hxxp://111.6.96.162:100/mini.lohaslady.exe

hxxp://ppv.pcl818.top:9008/n2/opcl.exe

hxxp://dl.as7x.com/dl/SQLExp.exe

hxxp://ppv.pcl818.top:9008/pcl.exe

参考资料:

1.      盗版Ghost系统携“独狼”Rootkit来袭，锁定浏览器主页超20款

https://mp.weixin.qq.com/s/6I-1YGs1o9hMMw6bW_JoPQ 

2.      Rootkit病毒“独狼2”假冒激活工具传播，感染上万台电脑

https://mp.weixin.qq.com/s/-Pg-4MoD9LyQN5hmS-HOow 

3.      暴风激活工具传播独狼Rootkit新变种

https://mp.weixin.qq.com/s/-qJ1JvvUA8vU4lrH_bWwYg