近日，金山毒霸安全实验室监控到一款名为“锁大师”的流氓软件，该软件已开始大规模强制劫持用户浏览器主页，暗刷流量。 “锁大师”主要通过软件下载器为载体进行传播安装，预估受影响的用户量在百万级别。

              图:“锁大师”以下载器为载体进行传播

                                     图：”锁大师”下载地址

1、  “锁大师” 堪称一个Rootkit木马隐蔽性较高，它会通过创建文件过滤，将自己重定向到微软的文件上(ntkemgr.sys[恶意驱动]->重定向->partmgr.sys[微软正常驱动])，这样一来肉眼看则是正常文件，恶意驱动自身不会被发现。

                                                       图：文件重定向后

                                                        图：文件过滤

2、 “锁大师”使用KeUserModeCallback 注入Ring3并插入shellcode 进行PE文件的加载。

3、“锁大师”恶意模块劫持用户浏览器主页。

4、“锁大师”除了劫持主页外还会恶意暗刷广告。

目前，金山毒霸安全中心已经针对“锁大师”家族的流氓软件加强了清除和防御措施，可使用金山毒霸有效检出和清理“锁大师”恶意软件，并可以拦截其针对主流浏览器的恶意篡改。