一，简述 Velvet安全性精英团队发觉病毒感染犯罪团伙已经应用“Vision”社区论坛的系统软件映像文件来散播后门病毒'WenkPico'。病毒入侵客户的电子计算机后，它将被劫持导航站，网购网站和手机软件安装文件总流量，并牟取暴利。一起，该病毒感染还运用我国安全性生产商的商品程序模块进攻别的防护软件，使一些防护软件的“云查杀”作用无效，客户电子计算机丧失安全性维护。

　　对荷兰绒技术工程师的剖析发觉，病毒感染犯罪团伙将病毒感染置入系统软件图像文件中。当客户从“Vision”社区论坛下载并安装这种系统软件映像文件时，病毒感染就会运作。提议在没多久的未来下载系统映像文件。请尽早查验电子计算机C: \ windows \ system32 \ drivers文件目录。假如有名叫EaseFlt.sys和adgnetworkdrvw.sys的驱动安装文档，则说明它已中毒了。你能应用'火荷兰绒屠戮专用工具。 '根据病毒感染。 在病毒入侵客户的电子计算机后，它会以各种各样方法被劫持总流量以获得益处：被劫持客户导行到Hao123或2345导行网页页面;让客户在浏览网购网站时自动跳转到买东西采购回扣连接（受危害的网购网站给出）图）;还会被劫持客户的详细地址以下载应用，并将其替换成为病毒感染精英团队发送的手机软件频道栏目包。病毒感染犯罪团伙能够随时随地根据C＆amp; C网络服务器变更遭劫持的手机软件下载链接，而不容易防碍未来向客户的电子计算机派发大量威协病毒感染的概率。

　　更最让人害怕的是，该病毒感染应用国内安全经销商手机软件控制模块来避免流行防护软件免费在线定期检查杀掉（受危害的防护软件给出如图），这对36o安全系数有更大的危害警备借助'云杀'。云杀毒作用失效，避免防护软件发送病毒样本;它对具备当地病毒防护模块的卡巴斯基等防护软件的危害较小。荷兰绒的使用人无须担忧，“荷兰绒商品（个人版，商业版）'应用自身科学研究的新模块，而且在互联网关掉自然环境中不容易危害病毒防护工作能力。

　　最终，根据技术性追朔性，该病毒感染应用的手机软件控制模块具备“山东省安子信息科技有限责任公司”的电子签名。 （'山东省安西信息科技有限责任公司），提议企业尽早调研。 'WenkPico'病毒感染杀掉小提示： 1.网页下载'Firesoft Killing Tool'http://bbs.huorong.cn/thread-18575-1-1.html; 2.安裝后点击“刚开始扫描仪”。 二，试品剖析 近期，Velvet接到了用户满意度，从Vision Forum免费下载的系统软件映象包括1个病毒程序。病毒感染运作后，它将应用互联网过滤装置被劫持Hao123和2345导行营销账号，被劫持手机软件安装包下载详细地址，受危害的手机软件包含：腾讯电脑管家和QQ电脑浏览器。当客户浏览网购网站时，他还会自动跳转到买东西采购回扣连接。受危害的网购网站，

　　受危害的网购网站 被劫持，

　　被劫持 该病毒感染还尝试根据严禁防护软件部件连接网络并严禁电子计算机浏览云来杀掉该详细地址，使取决于云杀毒的防护软件丧失杀掉病毒感染的工作能力。严禁连接网络的防护软件，

　　网络安全软件 除此之外，该病毒感染还具备文件保护作用。当客户载入与病毒感染有关的驱动安装文档时，回到的统计数据是系统文件bindflt.sys的文档內容，进而使客户觉得疑惑并改进了病毒感染的掩藏。以file特性为例，如图所示：

　　病毒感染维护自身的驱动安装文档 病毒感染主控制模块文件夹名称是wkms.dll，除病毒代码外还包括系统激活有关逻辑性。动态性库将申请注册为系统服务，并在每一次开启时启用。初次启用病毒感染控制模块时，它将释放出来好几个可执行文件（如上边的鲜红色框如图），在其中EaseFlt.sys是EaseFilter SDK中出示的驱动安装，它出示文档过虑和系统进程维护。能够根据EaseFilter SDK中的动态性库启用该涵数。动态性库统计数据也储存在wkms.dll中; adgnetworkdrvk.sys和adgnetworkdrvw.sys全是互联网过滤装置驱动安装，2个驱动安装文档相同，在其中应用了adgnetworkdrvk.sys。针对系统激活，adgnetworkdrvw.sys用以设定故意互联网过虑标准。值得一提的是，人们发觉在下列Win10系统软件中安裝wkms.dll服务项目动态性库后，其公布的互联网过虑驱动安装文档具备“山东省安子信息科技有限责任公司”的合理电子签名。因为在启用驱动安装时未检验到调用者，人们最开始猜疑驱动安装文档是不是被病毒感染运用。 '山东省安西信息科技有限责任公司'电子签名